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PREFACIO 


Dcxdc  lox  inicios  de  tj  humanidad  lax  distintas  cultural  tun  dado  una  importance 
rnorroc  a  los  temax  de  coouNlvdad.  y  pot  unto  tamhifn  tun  ncccvitado  de  mcdiox  quc 
pctmiiicran  vcnficar  xux  rrgtxtrox.  ex  dear,  de  la  auditoria.  De  hccho  vc  ptcnsa  quc  la 
uvencidn  de  la  eacrittn  turgid  como  respucsu  a  la  necexidad  dr  audiur.  Flexher 
(1993);  por  lo  quc  la  de  auditor  xeria  una  de  las  profcsiooex  mix  antiguax. 

Pcto  ex  realmeme  a  panir  de  finales  de  1800  cuando  la  audnxia  financiera  *e 
ntiende  por  el  Reino  Urudo  y  Norteamdnca.  >  xe  sientan  las  tuxes  dr  las  pricticas  quc 
conoccmox  en  la  actualidad. 

A  panir  de  1930.  la  informiiica  sc  coaxierte  en  una  hcrramicnta  mux  importance 
ca  lax  laborct  de  audit oria  financiera.  >a  que  pcrmilc  Ilex ar  a  cabo  de  fornu  ripxda  y 
preuxa.  operac tooes  qvic  manualmcnte  conxumirfan  demaxiadox  reerrsov  Fanpse/a  la 
denommada  "auditoria  con  cl  computador".  que  no  puede  conxiJerarxc  verdadera 
aaditona  informiiica.  xinu  que  utiliza  el  computador  como  herranienta  del  auditor 
fuunciero. 

Sin  embargo.  al  convetiirxe  lox  xixtemas  de  informaodn  de  la  rmprexa  cada  xe/ 
mix  depend icn lex  de  los  computadorei.  xurge  la  necexidad  de  xerificar  que  lot 
utiemax  informiticax  funemoan  concciamemc.  cmpe/dndoxe  a  fualex  de  lox  ariox 
xexenu  a  dcxcubrirxc  vanox  caxos  de  fraude  comctidox  coo  ayuda  del  computador  que 
Kicen  mx  table  seguir  conformindoxe  coo  la  auditoria  "a  I  reded  or  <d  computador" 
Surge  axi  la  necexidad  de  una  nueva  especialidad  dentro  de  la  audnerfa.  cuyo  ohjetivo 
cx  preeixamente  xerificar  el  funcionamiento  correcio.  cfica?  y  eficicnte  de  la 
informiiica.  en  definitiva.  la  "auditoria  del  computador" 

En  la  actualidad  nadie  duda  que  la  informacidn  xe  ha  cooven  do  en  uno  de  los 
am  vox  principalcs  de  lax  emprexas.  que  representa  xu  principal  xentaja  extraldgica 
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Las  cmprcsat  invtcrtcn  cnormes  cantidadct  Jc  dinero  y  iicnifM>  cn  U  creation  dc 
sittcmas  dc  informacidn  que  ks  ofrc/can  la  mayor  productividad  y  calidud  posiblcv 
Et  por  oo  que  lot  icma*  rcUlivo\  a  la  auditorfa  informfitica  cobran  cada  vcz  mit 
rcktancia  unto  a  nivcl  international  como  national. 

Dc  eta  nnponancia  crccicmc  dc  la  informacidn  nacc  la  nccctxlad  dc  que  cw  bicn 
jurfdko  tea  protegido  per  cl  dcrccho  y  apiarczca  rcgulado  cn  cl  urdetumkntn  jundico 

Laentradaen  vigor  dc  la  Ley  Organica  15/1999  dc  I 3  dc  diciemhrc  dc  Proteccidn 
dc  Dato»  dc  Cariclcr  Personal.  la  Ley  Orginku  10/1995  dc  23  dc  ixnicmbcc  que 
aprueba  cl  nuevo  C'ridigo  Penal,  y  por  ultimo  cl  Texto  Kefundido  dc  la  ley  dc  la 
ftopiedad  lmclo.tu.il  aprohado  por  cl  Real  Dccrcto  Legislative  1/1996  dc  12  dc  abnl 
aif  como  una  scric  dc  normat  ctpccificas  del  sector  cstablcccn  un  marco  jurfdko  dc  lo 
que  «  viene  denonunando  Nuevat  Tccnologiat  dc  la  Information. 

HI  eslabkcimicnto  dc  esc  mar  to  jurfdico  inode  dc  forma  imporiantc  cn  la 
Auditorfa  InfomiiUca.  Pues  si  antes  comprohibamos  que  era  impotiblc  rcali/ar  una 
Auditona  dc  CuctMas  si  no  sc  auditaba  lo  que  contcofan  etas  "cayas  negrat"  que  too 
lot  sistemas  dc  information  y  que  conticncn  todos  lot  dates  cconOmicot  dc  las 
organi/acionct.  ahora  vemot  quo  difitilmcnic  sc  puede  real i car  una  AudiUiria 
Informitica  si  no  tc nemos  cn  cuenta  cl  marco  jurfdico  cn  que  sc  sitdan  csot  uttemat 

inform*!  kav 

Colaboran  cn  cl  libro  vcintiocho  autorcs.  entre  lot  que  sc  cncucntraa  profetores 
dc  universidad  y  profesiorulc*  dc  rccooocido  prcoigto  cn  cl  mundo  dc  la  auditorfa 
informatica.  reuniendo  algunot  dc  cllos  las  dot  cualidadct.  lo  que  aporta  un  gran  valor 
aftadado  a  la  obra  al  ofrccer  pcrspcctivat  y  cxpcncno.it  muy  vanadas  tobre 
prdcticamcntc  todos  lot  atpcctos  rclat  ionad.it  con  la  auditorfa  mformitica. 

Lot  objdivox  que  not  hemos  propuetto  cn  csta  obra  sort  lot  tiguientet: 

•  Prctcniar  dc  forma  clara  y  preota  lot  concept ot  fundamcn tales  tobre  control 
■memo  y  auditorfa  informtUica. 

•  Ofrcccr  un  iratamicnto  sislcmitko  dc  las  kenic-as  y  nktodos  del  auditor 
informdtico. 

•  I>ar  a  coooccT  lot  aspcclot  organi/aiivot.  jurfdicos  y  deontoSOgicos  auxiadot 
a  la  auditorfa  mformitka. 

•  Exporter  cn  ptofundidad  las  pnncipalct  ircas  dc  la  auditorfa  infornuilica: 
fisica.  scguridad.  dcsanollo.  inantcnimknto.  explication.  oftmilKa.  calidad. 
redes,  direction,  dc. 

•  Sumimttrar  una  visidn  global  dc  la  auditorfa  informilica  cn  diversos  scctorcv 
hanca.  sector  alrco.  pdblico.  PYMES.  etc. 
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•  Proporcionar  pwi»  y  experiences  que  ayuden  al  profcsional  informitico  en 
las  ureas  de  audiloria 

En  esu  segunda  cdkidn  del  libro  sc  han  actuali/ado  y  corrcgido  varios  capitulos, 
incorporando  otros  nuevos.  con  cl  fin  dc  ofrccer  una  panorimica  actual  y  completa  dc 
cite  campo. 


CONTENIDO 

La  obra  csti  dividida  en  tre*  partes  clanincnte  difercnciadas: 


Parte  I:  Introduccion 

En  cxia  primera  parte,  que  conaa  de  xieic  capftulo*.  se  exxmen  diversos 
coocrptos  fundamentalcs  tie  la  auditorfa  informdtica  En  cl  pnmer  captulo  se  describe 
la  mili/acidn  de  la  informitka  cotno  herranuenta  del  auditor  financicK).  mientras  que 
c*  el  segundo  capftulo  ya  empieza  la  audiloria  informatics  profumente  dicha. 
anali/indose  su  relacitSn  con  el  control  inicmo.  dedic indose  el  capiulo  siguienie  a 
exponcr  las  pnncipales  metodologfas  dc  control  inicmo.  scgundid  y  audiloria 
mformitica. 

El  capt'tulo  4  trata  de  uno  dc  los  aspcctos  fundamentalcs  de  la  audiloria  y  de  cuya 
(alidad  depende  rcalmenle  el  dxilo  dc  la  misma:  el  mformc  de  audiloria  Oui>  aspccto 
esencud  es  la  organi/ackn  del  departs  memo  de  audiloria  iniormitkA  que  se  analiaa 
en  el  copfiulo  siguienie. 

Esta  parte  finaliu  con  dos  capitulos  que  se  dedican  a  explorar  sendos  aspcctos  a 
los  que  no  se  let  suele  dedkar  la  extension  ncccsaria  en  los  libros  cxistenlcs:  el  marco 
juridico  y  la  dconiologia  del  auditor  informilK'o.  pen*  que  nosotros  cuimamos 
impress  iridiMes  en  la  formackn  de  cualquier  profesional  que  Irabuje  ei  esta  lira. 


Parte  II:  Principales  Areas  de  la  auditor/a  informdtica 

Lot  capitulos  que  configuran  esta  parte  central  del  libro  se  dedic  in  a  analirar  las 
Aversas  areas  a  las  que  se  aplKa  la  auditorfa  informilica.  Asi.  se  empie/a  en  el 
capftulo  8  con  la  audiloria  flsica.  mientras  que  el  capftulo  siguienie  sc  dcdica  a  la 
Mifetoria  de  la  ofimilica.  que  cada  dia  tiene  un  mayor  peso  en  las  empresas  c 
■ubtiacioncs;  y  el  capitulo  10  a  la  audiloria  de  la  dircecidn. 

Los  capitulos  II  al  13  se  dedican  a  exponcr  las  consideracioaes  dc  auditorfa 
mfcrmiiKa  sobre  ires  4reas  boslante  rrlacionadas:  cxpkMacidr.  desamtllo  y 
maotenirnkmo;  que  se  complcmcntan  con  cl  coniemdo  de  los  do*  captulo*  siguiemes 
que  abordan  las  bases  dc  dalos  y  la  kcnica  dc  sistemas  rcspcctit  ament.-. 
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Dos  aspect  os  que  cadi  dfa  cobran  mis  imporuncia  dentro  dc  la  aplicaodn  tie  las 
Tccnologfas  <k  la  Information  a  las  empresas.  la  calidad  y  la  sejundad,  son  ohjelo  de 
los  capftulos  16  y  17. 

El  caps'! ulo  18  sc  dcdica  per  complcto  a  anali/ar  la  audilorii  dc  redes,  tmo  dc  lot 
coniponcntes  mis  importances  en  un  m sterna  dc  infonnaodn.  que  csti  expenmentando 
un  cambio  e spectacular  en  la  Ultima  dccada. 

13  capftulo  siguienie  sc  dcdica  a  eiponcr  I  os  principctlcs  rlcmentos  que  dehen 
csaminarse  a  la  hora  de  auditar  las  aplicacioncs  informilica'.  inertias  que  cl  capftulo 
20  profundua  en  estos  aspcclos  para  las  auditorial  dc  las  sistemas  FJS/DSS  y  las 
aplkaciooes  de  simulaci6n. 

Esla  pone  final i /a  con  un  capftulo  dedicado  a  la  auditiria  dc  levs  encomos 
inlorinilicos  desdr  cl  punto  dc  vista  jurfdico.  lotalmcnlc  actuali/ado  para  csta  segunda 
edkidn. 


Parte  III:  Auditoria  informatica  en  diversos  sectores 

No  queriamos  dc>ar  fucra  dc  csta  obra  algunas  considcracionc*  sobre  la 
aplK acton  dc  la  auditoria  informilica  a  disersos  sectores  ccooOmcos  que  sirvicn  para 
aglutinar  dc  forma  priciica  los  conccptos  cxpucstos  en  la  pane  anterior 

Stguiendo  csta  filosofla.  detkeamos  el  capftulo  22  a  la  auditoria  mformiiica  en  cl 
sector  Kins  arm.  tnientras  que  cl  capilulo  23  anali/a  la  auditoria  informilica  en  cl 
sector  transportes.  especiOcamcntc  cl  aftco.  Los  capftulos  24  y  25  tratan  sobre  la 
auditoria  informilica  en  dos  sectores  muy  impottantes  on  nucstro  pads:  la 
AdmimuraaOo  Publics  y  las  PYMKS. 


Parte  IV:  Otras  cuostiones  relacionadas  con  la  auditoria 
informatica 

En  csta  segunda  cdicidn  del  libro  sc  ban  incorporado  dos  nuevos  capftulos  que 
complementan  a  los  antenorcs  traundo  importanlcs  cucstioncs  relacionadas  con  la 
auditoria  informilica.  El  capftulo  26  aborda  la  telacidn  entre  cl  pentaje  y  la  auditoria 
informilica.  mientras  que  cl  capftulo  27  anali/a  el  contralo  dc  auditoria. 

El  libro  final i /.i  con  una  amplia  bibliograffa  que  ba  sersidodc  referenda  y  que. 
en  pane,  tambidi  sc  ofrece  como  Iccturas  recomcndadas  en  cadauno  dc  los  capftulos. 
Tambidi  hemos  incluido  en  cada  capftulo  urus  pregunus  dc  repaso  que  pueden 
indicar  al  lector  cl  grade  de  asimilacidn  que  ba  akan/ado  sobre  la  materia 


Por  ultimo  sc  incluyen  los  aerdnimos  uhli/ados  en  el  texto. 


www.FreeLibros.me 


mm _ _ _ PUPACTO  ma 

0RIENTACI0N  A  LOS  LECTORES 

Aunquc  un  cooocimiento  cn  profundidad  dc  Us  tccmcas  y  hcTamicntas  dc  U 
audilorfa  informAtica  puedc  cstar  rcsersado  a  los  profestonak*  dc  U  nuicna.  maestro 
propdsuo  al  cdiiv  csu  obra  ha  stdo  dirigimo*  a  una  audicncu  muchc  mis  amplia  quc 
awnprcnde: 

•  Participates  cn  sc  mi  nan  os  o  curvos  monogrAficos  totn  audilorfa 
informAtica.  bien  scan  dc  introduce  ido  o  mis  avan/ados. 

•  Profcsionaks  informiticos  y  ccooomisias  quc  estdn  trahajanlo  cn  cl  Area  dc 
audiiorU.  ya  sea  financier  a  o  informAtica.  y  quc  dcsccn  ampliu  y  perfect knar 
sus  conocimicnto*. 

•  Directive*  quc  scan  re  spoo  sables  dc  la  gettidn  del  departamento  dc  sistemax 
dc  infotmacidn.  su  desartollo  o  cxplotacidn 

•  Profcsionaks  del  Dcrecho  quc  sc  cncuentten  trabajand)  cn  cl  campo 
informAlsco 

•  Esludianics  univenitanos  dc  la  asignatura  Audilorfa  hfocmAiica.  quc 
afonunadamcnlc  sc  va  incorporando  aclualmcntc  cn  los  planes  dc  cstudio  dc 
un  mayor  mimero  dc  univenjdades. 

•  Consul  tores  informllico*  y  usuanos  as  an/ados  quc  tengan  i  nerds  cn  adquinr 
algunot  conocimicnlos  so  bee  audilorfa  iniormilica. 

Debido  a  la  disersidad  dc  la  audkneia.  cl  csiudio  dc  csla  obra  puede  realt/arve  dc 
mancras  muy  diuinus.  dcpcndicndo  dc  la  finalidad  y  conocimimtos  prestos  del 
lector,  ya  sea  auditor  o  auditado 

Cada  parte  y  coda  capflulo  pueden  consultane  dc  mancra  autdnama  sin  lener  quc 
wguir  cl  orden  quc  sc  ha  extabkeido. 
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Ten  go  el  gran  placer  de  presentar  Audi  Iona  Informdtita:  Un  rn/xfur  prdetico.  de 
I  os  hdi  tores  Emilio  del  Peso  >  Mario  Piattini.  Me  parccc  un  libro  extraordinanamente 
oportuno  para  la  utuacidn  en  que  vtvimot.  detde  el  punlo  dc  vista  tccnoldgKO.  de  kw 
negociot.  y  de  la  auditorfa  y  tegundad  informltica.  ya  que  apwia  un  enfoque 
ietegrado  y  completo. 

Hsumot  tnmersos  en  un  profundo  cambto  de  todo  iipo  que  not  1  evarl  al  proximo 
uglo  XXI.  Las  empresax  y  organizactonex  dependen  de  len  drdascs  econdmicot, 
soduMrulcx.  y  tocialct  en  lot  que  te  encuentran  inmerxat  por  lo  que,  xi  lat  tendciKias 
tecnoldgkax  y  lot  entornot  ccoodmicot  e  industrials  cambian.  4eben  adaptarxr 
rapidamente  a  lat  nuevax  circuntianciat  para  xobrevivir.  Una  de  lat  tendencies 
aaualet  mix  significant  at  et  la  que  tc  dirige  desde  uiu  Sociedad  lidutlrial  hacia  la 
Uamada  Sociedad  de  Informacidn 

E*tc  cambio  et  muy  riptdo.  csll  afectando  al  mundo  eniero,  y  w  comprcntidn  es 
fundamental  para  las  orgamzacsones  de  todo  tipo,  pankularmente  tn  cl  contcxto  de 
kw  Sistemax  y  Tccnologfas  de  Informacido.  Aunque  lot  avancet  teenoldgicos  de  lot 
Dlimox  veinte  aAot  ban  tido  consumes  y  cspectacularet.  en  lot  ultimas  cinco  art  os  se 
ha  producido  una  verdadcra  revoluddn  lecnologica  de  gran  calado  e  impost o  para  la 
prupia  indudria  informltica.  atf  como  dc  cootecucnoas  imporuntes  para  el  retto  de 
los  sectores 

Cada  vex  un  mayor  ntimero  de  organi/acionet  considera  que  la  informacidn  y  la 
xcnologfa  asociada  a  clla  representan  tut  activox  mis  importantes.  I)e  igual  modo  que 
se  exige  para  lot  otros  act  isos  de  la  empreta.  lot  rcquerimieniot  dc  alidad,  controies, 
teguridad  e  information.  son  indispensable*  La  gerencia  debe  etuMccer  un  sittenu 
de  control  intemo  adecuado.  Tal  sj  sterna  debe  soportar  debt  dan  seme  lot  proccsos  del 
negocio. 
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IfaciCndoxc  eco  dc  extax  tendencies.  U  propxa  Organi/.aci<So  ISACA  (Information 
Systems  Audit  and  Control  Association),  a  Waxes  dc  xu  Fundacido.  publico  cn 
diciembre  dc  199$  cl  CobtT  (Control  Obyectixcx  for  Information  and  Related 
Technology),  como  consccucncia  dc  cuatro  aftox  dc  intenva  investigation  y  del  trabajo 
dc  un  gran  cquipo  dc  cxpcrUM  inicmaoonalcs 

1:1  marco  del  CobiT  ex  la  definiciOn  dc  extindares  y  conducta  profcxional  para  la 
gcxtidn  y  el  control  dc  lox  Sixtemax  dc  InformaciOn.  cn  todox  xux  axpcctox,  y 
unificando  difcrentcx  extindares.  mltodox  de  cvaluacidn  y  controlcx  anteriorcs 
Adioonalmentc.  exta  metodologia  apona  un  factor  difcrencial  enonncmenic 
importaMe:  la  onenlacido  hacia  cl  ncgocio.  Kxti  dixciiado  no  xdlo  para  xcr  utili/ado 
por  uxuanox  y  auditorcx.  xino  tambiln  como  una  cxtcnxa  gu(a  para  gextionar  lox 
proccsos  dc  ncgocios 

Sin  embargo,  cn  tOnnmox  gcncralcx.  podemox  dectr  qoc  a  pexar  dc  lox  grandex 
adclantox  tccnolOgicox.  la  xituaciOn  actual  dc  lox  Sixtemax  dc  InformaciOn  cn  lax 
Lmprexas  y  Organi/acioncx  espa  tolas  xc  caracterira  frecucntcmcntc  por  una  falta  dc 
asimilaciOn  dc  lax  nuevax  tccnologiax.  por  una  infrauuli/eciOn  dc  lox  cqxnpox 
informiticos.  por  un  dcxcontcnto  gencralirado  de  lox  uxuanox.  por  una  obsolescent ia 
dc  lax  apticacionex  informiticax  actuates,  por  una  falta  dc  planifkacidn  dc  lox 
Sixtemax  dc  InformaciOn.  y  por  solucioncs  planteadax  parcialmcntc  que.  al  no  extar 
■ntegradax.  produccn  ixlotcs  dc  mccani/aciOn  y  de  procesot  manualcx  difkilex  de 
controlar  y  carox  dc  mantcncr.  En  definitiva.  por  una  falta  de  extindarex  y 
mctodologias.  y  por  una  falta  de  format  kin  y  cultura  gcneralirada.  xobre  todo  en  lox 
aspect  ox  dc  control  y  de  tegundad  informitica 

La  Auditoria  Informitica  ha  aportado  xoiucioncx.  en  el  paxado.  para  extox 
problcmax;  pero  xc  ha  realirado  frecucntcmcntc.  haxu  ahora.  xdlo  cn  grandex  emprexax 
y .  en  la  mayoria  de  lox  eases,  como  un  complcmento  a  la  Auditoria  Financier*. 

Por  diverxax  razoncx  y  por  cl  mayor  impacto  que  extin  adquiricndo  lax 
Tccnologfax  de  InformaciOn  en  la  emprexa.  exta  dixciplina  exta  xiendo  cada  xc/  mix 
importante  y  xu  aplicacidn  puede  Ilex  arse  a  cabo  tamhtdn  en  la  PYME.  La  Auditoria 
Informitica  plant ca  unox  mdtodos  y  procedinuentox  de  control  de  lox  Sixtemax  de 
Informactdn  que  son  vilidos  para  cualquier  tomato  de  emprexa. 

Aquf  ex  donde  creo  que  exte  libro  dc  Auditoria  Infonndtica:  Un  tnfoqu*  pnkitco 
ex  dc  una  gran  utilidad  al  prexentar  un  com  pend  to  cvhauxtivo  de  lox  temax  dc  mix 
actualidad  por  lox  au lores  mix  cualificadox  del  sector. 

Puede  xervir  de  base,  por  un  lado.  para  llcvar  a  cabo  la  cultura  y  formaodn  xobre 
Auditoria  Informitica.  a  la  que  me  referia  antcnormcnie.  dcxdc  un  punlo  de  vixta 
tdcnico;  por  otro  lado.  I  oca  otrox  temax  dc  interns  actual  y  prictico.  dcxdc  cl  punto  dc 
vista  del  ncgocio  y  dc  la  emprexa.  relativox  a  la  organi/acidn.  a  la  dcontologia.  al 
marco  juridico.  a  la  rexponxatxlidad  del  emprexano.  y  a  la  aplicacidn  prictica  de  la 
Auditoria  Informitica  en  diverxos  xcctorex  emprexanalex. 


fis  dc  dcsucar.  y  dc  agradcccr.  el  subtitulo  de  Un  rnfoyut  pnktko.  La  mayoria 
de  las  publicaciooc'.  de  Aixlitoru  Informiiica  sc  tun  even  to  en  otms  tdiomas  o  tun 
wdo  tradocidas  en  Sudamenca.  y  cran  manejadas  y  utili/adas  por  espccialisias.  pcro 
no  h.m  cal  ado  suficicntcmemc  en  “cl  pdMico  en  general".  Mucha.  dc  cllas  sc  ban 
oncntado  hacia  espocialivtas  de  Auditoria  Informiiica  para  real i /a/  »u  trabajo.  lo  qsic 
e*ti  tambien  ampliamcnie  dcscrito  en  <1.  pero  enliendo  que  este  libro  ademis.  ul 
como  csli  plamcado.  so  pone  esc  acercamiento  de  la  Aodiloria  a  los  impresarios,  a  los 
usuarios  y  a  esc  pdblico  en  general. 

La  compctencia  global  ya  csli  aquf  La*  empress*  y  organi/aciones  se  deben 
recstmcturar  hacia  operacioncs  cada  vez  mis  compditiva*  y.  como  consecuencia. 
deben  aprovcchar  los  avarices  de  las  tccnologfas  de  los  Sisicmas  de  Informacibn  para 
meyorar  su  situactdrt  compciiuva. 

Iloy  dta  hablamos  dc  reingemeda  de  negocios  y  dc  proccsos.  d:  calidad  loud,  de 
procesos  disiribuidos.  dc  orgam/acionct  plana*.  de  EIS/DSS.  etc .  omi  cambtos  que 
generan  un  impacio  en  la  mancra  en  que  ope  ran  las  organi/acioncs  privadas  y 
piblicas.  Estos  cambtos  cslin  lemendo  y  coruinuarin  tcnicnfo  implicaciones 
profunda.  para  la  gestidn  y  para  las  cstruccuras  dc  control  en  las  crgam/ac tones  del 
mundo  eniero. 

Entre  las  implicacionex  dc  las  lecnologias  dc  infonnacidn  sobre  la  gesti6n 
cmpresahal  no  quicro  dcsaprnvcchar  la  oportumdad  para  comcniar  d  gran  impacio.  en 
las  empresas  y  organi/acioncs,  que  lendri  el  efecto  riel  cambio  at  two  y  del  problcma 
del  aAo  2000  en  las  aplicac tones  actuates. 

F.sio  scri  un  ejemplo  dramitico  dc  que  la  pres  isidn.  el  control,  la  segundad.  >  la 
rtdoecibn  dc  cosies,  implicados  en  los  Sisicmas  de  Informaodn  mesani/ados.  pueden 
convertirse  en  una  estraiegia  fundamental  de  las  organi/aciones.  La  julomati/acidn  de 
Ut  funcioncs  y  procesos  de  la  organi/acidn.  pot  su  propia  natunle/a.  genera  una 
mayor  dependence  de  mccanismos  de  conlrol  en  los  c.wnpuladom  y  redes  desde  el 
proto  dc  vista  del  hardware  y  del  software. 

En  este  marco.  dc  cambio  acclcrado.  si  lot  responsables  van  a  estar  a  la  aliura  de 
las  circunsiancias.  es  nccesario  que  sc  pongan  al  dia  en  cuanto  a  lecsologia  y  entomo 
de  la  Auditorfa  Informiiica.  Este  libro.  compilado  por  Emilio  «fcl  Peso  y  Mario 
Piattim.  puede  scr  fundamental  para  cllo. 

Desde  las  Organi/aciones  como  la  OAI.  que  nos  dcdicamw  a  difumlir  >  a 
promooonar  esta  actividad.  deseamos  fervicntcmcntc  que  cl  libro  tctga  la  dis-ulgacidn 
que  se  mercce  y  que  efcctivamcMe  llcgue  a  crear  una  "cscuela"  cvpcAola.  que  sc  echa 
de  menos  en  nuestro  entomo.  para  mcnuli/ar  a  la  Socicdad  dc  la  inportancia  de  csla 
disciplma. 

por  Kafatl  hodrigutz  tit  Cora 

Rtuinic  dr  U  Oqamcite  dr  tatkrti  InfoiBMK* 
C^vslorqwAot  dc  U ISACA 
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Ln  im/hirianit  ti  mirtir  nuevwnenlr 
irnifiulo  tn  cutMa  lot  abmi  >w  tutttMts, 
ttnitndo  tn  rutnla  tut  Ityrt, 
tut  rddigoi  itmdntkoi 
r  initrrtlackmti. 

F.mupo  Cnktica 

Al  rcker  cxlc  libra,  Audtloria  Informdtka:  un  tnjoqut  prat  two,  cntcndi  quo 
iKi  a  rcxullar  una  labor  muy  ardua  pixlcr  alUdir  ol|tun  cuncepto  dc  intcrdx  a  kw 
itKluidos  yu  cn  lax  pigmax  xiguicntcx  Por  cxia  rasdn.  me  he  petmitido  un  primer 
■trtvimiento:  cxbo/ar  algunas  reflcMooes  proptas  xobre  lu  Audiioria  dc  Sixtcmax  dc 
faiortnaetdo.  a*i  como  comcmanox  xobre  cl  x*<nteiMdo  dc  cxia  obra 

hi  tegundo  atrevirmertto  ex.  cn  cxia  ptcxcmacioci.  hablar  dc  "Auditoria  dc 
Sntemas  de  Iniormaodn"  cn  vc/.  dc  “audiioria  infornwkica".  La  primer  a  denominaetdn 
exti  xuxiiiuycndo  de  alguna  manera  a  la  xegunda.  la  exprexidn  Audiioria  de  Sixicmax 
de  btformacidn.  quo  xc  exti  conxolidando  cn  lodo  el  mundo.  corrcxpoode  a  la  rcalidad 
y  prcxixMin  actual  del  avancc  dc  lax  lecnologiax.  Actualmcntc  cl  acento  exti  cn  la 
informaeidn.  xicndo  cl  elememo  tecnico  un  componenlc  xariado.  dixerxo  y  camhiantc. 
al  xcrvicio  dc  la  informaeidn,  Kxtc  cambio  lambien  ha  xido  adopt  ado  hacc  xariox  a/tax 
per  la  Information  Sysicmx  Audit  and  Control  Association  (ISACAt.  reilejandok*  en 
cl  number  para  la  axnciocidn. 

Volvicndo  la  vixu  atrix.  y  tratando  dc  explicarmc.  tambxdn  a  mi  mixma.  que 
alieicntc  tienc  xer  un  prufcxional  dc  la  Audiioria  de  Sixtcmax  dc  Informaeidn.  dexcubro 
que  la  principal  atraccidn  exti  cn  xu  axpccto  “crcatixo".  Dc  abi  la  eleccidn.  como 
prdlogo.  dc  una  lease  dc  un  cquipo  de  err  adore*  que  resume  para  mi  una  conccpcidn 
jplicable  a  la  actividad  de  la  que  hablainox:  aprender  dc  lax  obrax  de  otrox.  con  una 
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miradi  nucva  y  actualizada.  tencr  cn  cucnta  Ion  fundamcnto*  htacos  para  cl  desarrollo 
dc  la  profcsi6n.  estahlccer  un  lenguaje  comiin  de  consume  acido  c  integrador  dc  todas 
las  disciptinas  o  actisidadcs  que  cstin  rclacionadas.  y  al  timnio  liempo.  investigar  cn 
nuevas  dircccioncx.  tea.  c*  ul  vc t  la  ra/dn  mi*  important  que  roc  ha  hccho 
permaneccr  cn  na  profesidn. 

I.a  opcidn  para  esla  pcrmancncia  engloba  ouo  factor:  la  crccicnic  conscience! 
del  comctHlo  social  que  puede  desempedar  cua  profesidn.  la  tcrnologia  cu4  cada  dia 
mi*  proven Ic  cn  nuettras  vidas.  dc*dc  la  domdslica  y  povada  ia'U  la  peofes  tonal.  y 
frente  a  cue  imparabJc  impulse  iccnotogko.  la  voctodad  ncccuta  tener  una  opinion 
objetiva  c  indcpcndicntc  sobre  cl  margen  dc  confian/a  que  pued*  (cncr  cn  to*  siucmas 
dc  informacidn. 

Por  lo  tamo,  si  jo  convcncida  dc  lo  accrtado  dc  la  decision  cuando  accptd  cn  cl 
aAo  1977  "convcitirme"  cn  un  auditor  informilko.  Para  m(.  cn  esc  momento  cn 
F.spafta  era  una  profesidn  incipkntc.  aunque.  cn  ornxs  poises  luviese  ya  mayorfa  dc 
edad.  Desde  aqud  cntonce*  la  Auditoria  dc  Siucmas  dc  Informacidn  ha 
experimentado  cn  EspoAa.  una  notable  expansion,  hasta  cl  punto  dc  convcrtirsc  cn  un 
clcmenio  clasc  con  relacidn  a  fiabilidad  dc  to*  scrvicio*.  uses  y  pjcstac  tones  dc  tos 
sistemas  inlormitko*  y  nucva*  tccnologias. 

Puhlicacionc*  como  la  presente  son  dc  vital  importance  para  la  difusidn  dc  la 
actividad  y  utilidad  dc  la  Auditoria  dc  Ststema*  dc  Inlormacidt.  y  ademis  permiten. 
especial incntc  para  aqucllos  que  sc  irncian  cn  cua  actis  idad.  apes  arse  cn  cl  camino  ya 
rccorrido  por  orros  peofcsionalcs  como  punto  dc  referenda. 

La  actividad  profcsional  sc  hasa  cn  unas  "tooena*  prietKas"  conscnsuada*  por 
lo*  profcsionaic*  a  trasc*  dc  sus  avociacioncs  profe-sionak*  Los  auditorcs  dc  siucmas 
de  informacidn  deben  set  tos  scrdadcros  protagomuas  de  cuaNcccr  tos  fundamentos 
del  cjercicio  dc  su  profesidn  dc  una  forma  coherente.  mcditaia  y  alcndicndo  a  lo* 
avanccs  dc  la  tecootogia.  asf  como  a  las  ncccsidadcs  de  la  socicdad  a  la  cual  sc  dehen. 
Estc  cs  uno  de  lo*  objetivos  dc  la  Organiracidn  dc  Auditoria  Irtomiatica.  capituto  dc 
la  ISACA.  que  cn  KspaAa.  dc  forma  pioncra.  toe  fundada  rn  cl  alto  1987.  Una 
asociacidn  dc  cstc  npo.  con  la  participactdn  activa  dc  sut  integnme*.  dchcria  intentar 
mejorar.  dcsarrollar.  consol idar  y  arroom/ar  la  profesidn.  logrando  cl  afianranuento  dc 
las  mclodotogia*  de  Auditoria  dc  Siucmas  de  Informacidn. 

Sc  (rata  dc  establcccr  unas  base*  sdlidas  que  ticncn  qur  vcr.  prmcipalmcnie. 
con  cl  obptivo  dc  la  Auditoria  dc  Sistemas  dc  Informacidn.  el  conocimicnto  dc  tos 
clcmcnto*  auditados  y  la  capacidad  para  detectar  riesgos.  |j  Aulitoria  dc  Sistemas  dc 
Informacidn.  la)  como  sc  cnticndc  cn  cl  Imbtto  intcmacional.  cn  tos  colcctivos  de 
profcsionalcs.  no  ticnc  como  propdsito  esertcial  saber  si  un  detemmado  control,  lanto 
prcdeicnmnado  como  adecuado.  sc  ha  implantado  simple mcme.  sino  saber  qud  control 
o  cent  roles  exist  cn  con  la  nusma  final  idad.  qtk  objetivo  y  fin  (imen.  edmo  sc  rcali/an 
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y  la  cficacia  ticncn  en  cuantn  al  cumplimicnto.  y  qoe  ncsgos  cvuten  min  para  las 
sistcmas  dc  informacisin.  o  bien  quc  pctjuicioa  pucden  causar  indirccumentc. 

A  partir  dc  aqui.  dada  la  divcrsidad  sle  la  tecnologb  y  w  usa*  c  implantation. 
»c  pucde  dccir  quc  no  existe  una  vcrdad  ubsoluta  y  uxativa  sober  qirf  sc  considers 
hoc  nos  mccjimvnm  dc  control,  ya  quc  Cstos  son  vicmprc  cl  product*  dc  una  situation 
determirvada.  asf  como  dc  wi  especificisbd.  I’oc  cm  I  os  auditorcs  dc  Sislcmas  dc 
Informaridn.  a  traces  dc  sus  experiential.  colaboran  para  mcjcrar.  consolidar  y 
armoni/ar  las  practical  de  csta  profesidn. 

La  mcjora  sc  obiendri  con  una  actitud  innovadora  y  crcativn  dc  Icn 
profcsionales  quc  las  compartcn  >  contrastan  para  iralar  dc  consolnW  y  armom/ar  un 
rclcrcntc  comsSn  unto  para  kn  intcgramcs  del  colcciiso  como  para  In  usuahos  dc  sus 
icrvicios. 

En  kn  dltimos  tiempos.  la  legislation  rclacionada  con  las  tccnologias  dc  la 
infoemacidn  y  con  cl  Iratamicnio  dc  datsn  personates,  alude  a  las  auditorial  sin  darlcs 
un  ape  I  lido  determinado.  ni  una  slcfmiciOn  concrcta.  Sc  cnticndc.  dado  cl  clcmcnto 
auditado  y  kn  rcsultados  quc  sc  Ic  pidc  a  esa  auditoria.  quc  debcila  tratarsc  dc  una 
Auditoria  dc  Sislcmas  dc  InformaoOn.  Tampoco  csta  actividad  csJ  dcfimda  en  kn 
diccionarios.  incluycndo  el  dc  la  l.cngua  EspaAoia  la  mis  ccrca-u  cs  la  auditoria 
rentable,  o  b  dc  auditor,  quc  no  coopcran  al  csclarecimicnto  dc  U  profesidn.  into  quc 
al  contrario.  cs  pouble  quc  coolundan  aOn  mis.  Sin  embargo,  sc  JCsprcndc  dc  todas 
ellas.  a  mi  calender.  b  idea  dc  b  mdcpcndcncia  u  objetividad  del  auditor,  asf  como  la 
n cecsi dad  dc  un  trabajo  profcsionil  claramcntc  dcfimdo. 

A  ntodo  de  ilustracidn  sobcc  kn  principtos  dc  b  actividac.  sc  induyen  dos 
manifcstacioncs  dc  b  ISACA:  "Los  objetivos  dc  b  Auditoria  dc  Sislcmas  sic 
Informac  ion  dehen  bnnslar  a  b  DircccisSn  dc  una  scgunsltd  ra/onablr  quc  I  os  conlrolcs 
ic  cumplcn.  fundamentar  los  riesgo*  rcsuluntcs  dondc  cxirtan  dchihdadcs 
significativas  dc  control  y  aconscjar  a  la  Direct  K$n  sobre  acetone*  correctivas";  asf 
como  In  rrali/aciOn  de  una  Auslitoria  dc  Sislcmas  sic  InformacisSo  implica  la 
ev*luaci6n  y  emisidn  sic  una  opimsin  objctiva  c  mslcpcndicntc.  >  sic  rceomerxla: i ones 
mbfe  la  fiabilidad  dc  un  sistema  sic  informaciOn" 

La  Auditoria  dc  Sislcmas  dc  InformacisSn.  slash  su  relation  intrinscca  con  bs 
tccnologias  sic  b  in  format  u>n.  con  bs  cntisbsics  y  organi/ac  tones  quc  utiliran  ettas 
kcnologus.  y  con  kn  usuarisn  en  general,  numicne  neccsariamcMc  intern:  be  tones 
coo  own  disciplinas  o  actividadcs  profcsionales.  con  las  quc  compartcn  project  os 
unique.  con  dislinus  ntclas.  areas  de  actuacidn  y  responsabilkbdes. 

Dc  hccho.  b  profesidn  we  ha  nutrislo  y  sc  outre  de  experts*  provementes  sic 
dislintas  disciplinas  alines.  Los  rcquivitsn  c  sene  sales  para  real  rar  csle  tipo  sle 
actividad  son  eonocimicntsn  sblisios  sle  auditoria  asf  como  conocwicnto*  ifcmcot  y 
entretumiento  permanente  en  las  nuevas  tccnologias  F-Oa  situacidn.slados  kn  avanccs 
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de  la  IccnologU.  exli  llexando  a  Ion  audiiorcx  de  xixtcnun  ilc  informaciiSn  a 
cspcctali/arxc  cn  dcicrminadax  areas  o  emornos  iccnoldgicos.  La  rcalidad  seAala  que 
Ion  cquipoN  dc  Audiloria  dc  Sixicmax  dc  InformaciiSn  dc  lav  enudadex  dc  dimcnsKio 
imponanic  cxiin  formadax  por  profcsionalcs  muliidisciplinarex. 

El  prCNcntc  libro  Audiloria  Informdtita:  un  rnfoqtt  prattle o,  incluye 
accrladamentc  ole  axpccto  dc  Un  interTcUeionex.  dcxdc  la  utili/ariiSn  dc  U  informalica 
o  hciramicnUN  tecnoldgicas.  cn  coocreto  con  respevto  a  Ion  auinorcs  financicroN.  al 
impaclo  dc  la  crecicntc  IcgixUcidn  con  rclacidn  a  la  utilincidn  dc  Un  lee  nolog  Un. 
Oponunamcntc.  nc  aruli/an  aquclkn  elemcniON  comuno  paia  dixtintos  tipox  dc 
audiloria.  como  eon  Ion  principrox  dc  un  informc  dc  audiloria.  y  Ion  aspcctos  ctieos  que 
dchc  obxervar  un  auditor.  Ex  dc  agradcccr  U  clarification  xobtt  an  xiNtema  dc  control 
imcmo  y  U  rcali/acidn  dc  una  Audiloria  dc  Sixicmax  dc  Infornucidn.  El  cycrcicio  dc 
ambax  activnUdcx  licnc  puntox  cn  comun.  iikIuno  cn  xituaci«>cx  dcicrminadaN  nc 
uliti/an  las  mitmaN  hcrramicnus  iccmcax  Sin  embargo.  exixten  difcrcncias  cspccificaN 
que  sc  indican  cn  Ion  capitukn  corrcspondicnicN.  1-1  control  inlcmo  dc  Ion  sixtcmax  dc 
informaciiSn  cs  una  rcsponsabilidad  pnmana  dc  nun  rcxponxaslcx.  Ademix  aporta 
aspccios  practicos  lanio  de  la  organiracuSn  dc  la  funcidn  dc  AuCiloria  dc  Sistemas  dc 
InformaciiSn.  como  dc  la  rcaliracuSn  de  pcniaje*  inform&icox. 

Coincidicndo  con  Us  dclinicianes  dc  U  ISACA  referidasen  esu  preset)  lac  ido. 
la  Audiloria  dc  Sixicmax  dc  InformaciiSn  aharca  la  rtvixiiSn  y  eviluacnSn  dc  todox  Ion 
aspcciox  (o  alguna  xevcidn/irca)  dc  Ion  xi.xtcmax  auiomati/adox  dc  proeexamiento  dc 
informaciiSn.  incluycndo  proccdimicntON  rclacionadox  no  auiomiiicox.  y  las 
intmclacionrx  emre  cllox.  Dc  ahf  que.  elica/mcntc.  nc  hayan  previxto  iraumientox 
xeparadoN  de  dixtinux  ireax  obyeto  dc  la  Audiloria  dc  Sixicmax  dc  InformaciiSn.  dcxdc 
la  seguridad  flsica  y  ofimHica.  luxla  Ion  aspect  on  dc  iipo  legal,  la  calidad.  y  U 
xeguridad.  conxidcrando  tambkn  Ion  axpcctox  dc  gestidn  Jc  lo*  sistemax  dc 
information.  la  adccuacnSn  dc  la  aclixidad  a  cnlomox  mediox.  lax  ircax  dc  dcxanollo. 
xixtemax  concrdON  y  ictnologfax  cxpccifkax. 

Ex  imponanic  dcxiacar  que  csic  enfoque  prictico  aharca  tximismo  cl  cjcrcicto 
dc  exta  aclixidad  cn  dctcmiinadox  scctorcx  dc  actividad.  que  pveden  impnmir  cn  la 
rcaliracKSo  del  Irahajo  del  auditor  una  oerta  paniculan/acidn.  ra  que  Ion  rtcxgox  «Jc 
lox  xixirmas  dc  informaciiSn.  cn  muchos  caxox.  varian  y  dependen  dc  la  aclixidad 
cmprcxarial. 

Lox  profcsionalex  que  han  See  ho  poxible  exte  libro.  exiit  hackndo  un  aponc 
cualitalivo  a  exte  "camino  que  xc  hacc  al  andar~.  eooiribuycndo  i  que  la  Audiloria  dc 
Sixicmax  dc  InformaciiSn  xc  entienda  cn  cuantox  a  xux  obyctixos.  y  que  al  misnxo 
liempo  cumpla  con  xu  iuncnSn  social  dc  dar  conlian/a  cn  lox  xixtrmax  dc  informaciiSn 
a  xux  reeponxablex  y  a  U  xocicxiad  cn  general  que  reel  be  xus  xcrxiuos. 

Qukro  pcrxonalmcntc  agradcccr  a  Mario  Piallini  y  Emilio  del  Peso,  por 
habrnne  honrado  con  la  pcticidn  dc  hater  exta  prexcntaenSn  Cono  pane  del  colcciixo 


www.FreeLibros.me 

_ WHlUKX)  A I A  StGTMMUMCWVN  XXXVII 


profauoml  dc  auditors  dc  siitcmav  de  infbrmacidn,  jgradc/co  um>>ln  cl  cMuer/o 
drdicado  pam  llcvjr  u  bucn  termini*  cxUct  pobltcacioocs.  y  mi  difuv6n  y.  atamUmo 
hayo  c.\tcn«*ivo  mi  rcconocimicMo  a  W"  diMinlo*  autorv*  par  mi  contribucidn. 
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CAPfTULO  I 


LA  INFORMATICA 
COMO  HERRAMIENTA 
DEL  AUDITOR  F1NANCIERO 


Alonw  llrnuinJr;  Garcia 


1.1.  DEFINIClbN  DEL  ENTORNO 

Defimd  y  no  discuiirdt*  Y  aun  un  la  pretension  dc  que  lo  quo  ve  expooga  cn  este 
capftuk)  wi  indiscutiblc.  parcoc  may  com  entente  delimiur  cl  campo  en  que  nos 
descnvotvcmos. 

IXrniro  de  utvi  especial  idad  un  rccicaic  y  expansua  como  la  llamada  auditoria 
mformitica.  cahe  perfect  amente  la  confusabn  conceptual  unto  entre  kw  difcreMes 
avpecfm.  Areas  o  enfoques  en  sf  mismoa  como  por  la  dehtda  a  la  scttigmosa  evoluctdo 
que  experimema  la  cspccialtdad 

Pero  como  ya  pretende  cxplicitar  el  (itulo  del  capftulo.  vamos  a  tratax  dc  auditoria 
finanocra.  Parecc  indicate  que  en  cieru  medida  nos  desgayamos  del  contemdo 
general  del  libro  y  nos  desviamos  hacta  las  auditorial  financieras 

No  c»  cxactamcntc  asf.  Si  dcsmcmiramos  el  contenido  dc  la  audliorfa  y  w 
esolucidn  podemos  observer  que  el  conccpto  permancce  mamovible  y  son  su  objeto  y 
final >dad  lo  que  puede  variar. 

Tambidn  purree  procedenie  haccr  una  alustdn  cspecifica  a  la  coosulloria  como 
espccialidad  profcsional.  ya  que  se  hacc  preciso  delimiur  %u»  respectivos  campos  que 
en  ocasiones  se  confunden  y  supeipoocn. 
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1.2.  AUDITORIA.  CONCEPTO 

Conccptualmcnte  U  auditors,  coda  y  cualquicr  auditorla,  es  la  actividal 
cnmistcnte  cn  la  emisidn  de  una  opinido  profenonal  sobre  u  (I  obfcto  somcrido  i 
anlhsss  prevents  adccuadamcnte  la  realsdad  quc  prctende  rcflcjai  y to  cumplc  Us 
coodicsone*  quc  Ic  Kan  sido  prcscrila*. 

Podemo*  descomponer  CMC  concepto  cn  lov  clcmcntos  fundamentales  quc  i 
coniinuacidn  x  npccifican: 


jllcontemdo: 

|una  opinion 

I  2)  condicidn: 

|  profrvional  1 

|  3)  justiftcactdo: 
Ulohjeto: 

1  vustentada  en  detemunadov  procedlmienlov 

1  una  deicrminada  informaodo  obtemda  en  un  ciertn 
voporte 

!  5»  fmalidad:  i  determmar  m  prevents  adccuadamcnte  la  realidad  o  Cvu 

1  responde  a  lav  espectativa*  que  Ic  son  atribuidas.  ca  1 
|  dec ir.  vu  fiabilidad 

En  lodo  cato  cv 

una  funckVn  que  se  acomete  a  postenon,  en  relacidn 

actividade*  )  a  rcalisadas.  sohre  lav  quc  hay  quc  emitir  una  opinion 


1.3.  CLASES  DE  AUDITORIA 

Los  elemental  4  y  5  divtinguen  de  qud  clave  o  tipo  de  auditor!*  sc  irala  El  objtto 
tometido  a  evludio.  sea  cual  vea  su  voporte,  por  una  pane,  y  La  final idad  con  que  ic 
reali/a  el  euudio.  delinen  cl  tipo  de  auditorfa  de  que  cc  irau.  A  titulo  ihistratm 
podrfamos  enumerar  entre  ot/av 


1  :  r 

mssm 

|  Opinion 

Cuentas  anuales 

Prcventan  realidad 

>  Informal ica 

OpmiAn  ! 

Sivtemav  de  oplicacidn.  re- 1  Operaiii idad  cticicnce  y 
curvov  infomuiticov,  planes  1  segiln  normas  eviahleci- 

de  contingcncia.  etc. 

Idas 

Geslidn 

1 

iOpintdn 

Direction 

I  Eficacia.  eficiencia.  eco¬ 
nomic  idad 

ICumpli- 

1  Opinion 

Normas  cvtahkcidav 

1  Las  opcraciooei  se  ade-j 

I  miento 

_ 

cuan  a  estas  nonius  \ 
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1.4.  PROCEDIMIENTOS 

La  opinidn  profc*ional.  elemcnto  excncial  de  la  auditoria.  *  fundaments  y 
juMifica  por  medio  de  uno*  proccdinuenlo*  opecffico*  tendente*  a  prnporcionar  una 
*cguridad  raronablc  de  lo  que  «c  a  firms. 

Como  ci  natural,  cada  una  dc  la*  date*  o  hpo*  dr  auditoria  pence  *u*  prop*-** 
procedimiento*  para  alcan/ar  el  fin  previsto  aun  cuando  puedan  <n  mucho*  c**o* 
cotnodir.  H  alcance  dc  la  auditoria.  cuncepto  de  vital  importancia.  n**  vienc  dado  por 
kn  procedimiento*  la  ampiitud  >  profundidad  dc  lo*  prucedmuentoi  que  se  apliquen 
nos  definen  *u  alcance 

En  la*  aoditoda*  altamentc  rrglamentada*  como  la  flnanciera  e*  preceptive 
"aplicar  la*  Norma*  TCcnica*  y  decidir  lo*  procedimietito*  de  auditiria"  "Cuaiquier 
limitacidn...  que  impitla  la  aplicaci6n  de  lo  di*puc*to  en  la*  Norma*  Tunica*  debe  *er 
considerada  en  el  Informe  de  auditoria  como  una  mcna  al  alcance". 

Sc  pretende  jaranti/ar  que  *e  toman  en  conuderacidn  todo*  lo*  axpecto*.  area*, 
elemcnto*.  opcraciooe*.  circunvtanciav  etc.  que  *can  vignificativa*. 

Para  ello  ve  extableccn  una*  norma*  y  procedimietito*  que  en  cuanto  a  la 
ejecucidn  de  la  auditoria  *e  re*umen  en  que: 

-  El  traboyo  *e  planificari  apropiadamente  y  *e  *upervi*ari  adecudamente. 

-  Se  estudiari  y  e*  aluara  el  *i*tema  de  control  mtemo 

-  Se  obtendri  e*idencia  Mificiente  y  adecuada 

Como  corolano  *e  estabtccc  que  la  c*idcncia  obienida  deberl  recogene  en  lo* 
papcle*  de  trabayo  del  auditor  como  ju*tificacidn  y  *oportc  del  irabijo  efectuado  y  la 
opinion  exprevada 

b*ta*  ire*  norma*  *e  deducen  clara men ic  de  la  xituacidn  real  actual  de  lo*  ric*go* 
que  ba  de  aftonlar  el  auditor. 

Inicialmente.  cuando  el  objeto  de  la  auditoria.  lo*  documerio*  financiero*  a 
auditar.  eran  relativamente  corto*  y  cootenfan  mi*  bien  c*ca*a*  operacioncv  lo* 
procedimknto*  llamado*  de  ambu  a  abajo.  que  parten  de  lo*  docummto*  financiero*  y 
auditan  hacia  abajo.  bacia  la  evideneia  de  auditoria  suby  acente.  que  ie  terificaba  en  *u 
integndad.  tradicionalmente  conoctdo  por  Centura  de  cuenta*  o  en  lave  a  la*  cucnu*. 
era  adecuado.  Mificiente  y  viable 
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Sin  embargo,  cuando  llcgb  U  llamada  rciolucifa  cuantitaiiva.  que  trajo  oonujD 
la  crcacidn  do  socicdadcs  coo  importantc*  mcdios,  qoc  Us  opcrackincs  k 
inuliipltcaran  cnonncmcntc  y  qoc  U  gcstidn  >  proptcdad  sc  difcrcnciaran  cada  vet  mil 
clarameoic.  cl  mriodo  tradicional  results  laboeioso.  tcdiovo.  largo,  incficu  j 
cconrimicamcntc  inviaMe. 

No  era  pcmNc  sen  (War  U  totalidad  de  las  nwy  ounuoso  operacionc*  y.  per 
unto,  hjhu  qoc  redueir  cl  campo  dc  accido  del  auditor  a  parte  dc  U  numeral 
informacido. 

TambiCn.  como  nos  mamficsta  Dale  S.  Flcshec.  a  partir  dc  I  os  primeros  aAot  <ld 
siglo  XX.  la  hanca  sc  convirtki  cn  cl  principal  usuario  dc  Us  auditorial  dc  can  i 
scguimiento  de  sus  ertditos.  y  no  cstaha  intcrcsada  en  U  cxactitud  administratis  j  de 
Us  cucntas  sino  “cn  la  c alidad  y  irprcscniatiiidad  dc  los  balances-. 

Lste  nuevo  planieanuento.  sin  embargo,  trala  implkito  on  nesgo  csidcntc.  al  m 
scnlicarsc  U  total idad  dc  los  mosimicntos 

Los  controlcs  csuMectdos  pot  U  entidad  aoditada  pudicran  pcrmitit  que  « 
produyeran  itTcgulandadev.  potcncialmcntc  sigmficativas.  casualcs  o  voluntanas 

Al  no  some  terse  a  revision  todas  y  cada  uru  de  las  operacionc*.  cafce  h 
posiNlidad  dc  que  escape  a  U  atenodo  del  auditor  alguna  de  aquellas  irregular  dadev 

LI  auditor  ticnc  el  cometido  incnunciaMc  dc  man  tenet  cl  nesgo  de  que  csw 
ocurra  dentro  de  limtlcs  tolerable*. 

Lste  aserto  podria  rrpresentarse  de  forma  aritmdtica  como: 

R(c)  •  R<di  ■  S(c> 

Rlc)  *  al  nesgo  cn  el  proccso  o  nesgo  dc  control. 

R(d)  « ilcsgo  dc  dctcccMn 

Slcl «  constante  o  parimetro  admisibic  en  que  sc  dcsea  manteocr  el  nesgo  de 
auditoria 

E*  inmcdiato  el  heebo  dc  que  cl  nesgo  dc  control  y  cl  nesgo  dc  deteccidn  dentro 
de  la  ccuacidn  plantcada  son  ms  ervamente  proporciorulc*.  Si  aAadimos  que  el  riesp 
de  control  es  aycno  al  auditor,  pucs  depende  dc  Us  normal  csUbl codas  por  U  entidad 
en  su  visicma.  es  evidente  que  para  defimr  el  nesgo  de  descccidn  que  csti  dispuesto  a 
admitir.  ha  de  evaluate  pnmero  el  nesgo  de  control  cxistcntc. 
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Dc  ahi  se  justifies  la  impostcibo  de  las  Nonnas  Tbcrucas  que  establcccn  que  la 
rcsiudn  del  siucma  lienc  pot  objcto  el  que  sirva  como  base  para  las  pruehas  de 
cwnplimicnto  y  para  la  cvaluacidn  del  sistcma 

En  csta  Knea  las  Normas  de  Auditoria  en  vu  apanado  2.4.34.  espltcilan  que  cl 
ncsgo  final  del  auditor  es  utsa  combinaeidn  de  dos  ncsgos  separadov 

-  El  primcro  de  <*los  esti  constituido  por  aquellos  errores  de  impoetancia  que 
ocurran  en  el  process*  contable.  del  cual  se  obticncn  las  cucntas  anualcs. 

-  El  segundo  rsesgo  cs  de  que  cualquicr  error  de  importancia  que  pucda  caistir 
sea  o  no  dctcciado  por  el  teamen  del  auditor 

El  auditor  confla  en: 

-  el  control  intemo  establecido  por  la  cntidad  audnada  para  rcducir  el  primer 
riesgoy 

-  en  sus  pruebas  dc  detalle  y  en  sus  otros  procedimientos  para  dismount  cl 
segundo 


Basados  en  estos  concept  os  podemos  csquemati/ar  los  procedimientos  de 
audi ion's  fmanciera  establecidos  por  las  Nonnas  en  relacidn  con  la  ejccucido  de  la 
auditoria.  dc  la  siguicntc  forma: 


1.5.  variaciOn  del  objeto 

Por  aAadidura  es  inncgaMe.  <y  aqui  si  rcclamartamos  la  condicidn  de  ladisculiblc 
pura  el  aserio).  que  con  mayor  o  me  nor  profundidad  la  gestiiSn  dc  las  cntidades  ha 
cxpcnmentado  un  cambto  sustancial  y  hoy.  salto  caso*  dignos  del  Guinness,  se  utilira 
la  T1  (Tecnologta  de  la  InformackWt)  en  todo  proceso  contable 

Se  ha  introducido  un  nuevo  elemento  cualitatiso  en  el  objeto  de  la  auditoria.  cl 
oso  de  la  mformdttca  como  factor  consuttancia!  a  la  gestidn.  con  la  introduccidn  de  la 
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Tecnologla  dc  La  Infomiacidn  (T1  >  cn  los  sivtcmav.  muy  probablcmcntc  hasada  en  1m 
vcnujav  quc  aporta  la  infomiati/ueidn  con  rcvpccto  al  trabajo  manual,  cntrc  las  que. 
segiiii  C.  Martin.  sc  pod  run  divtinguir 


H“““ 

•  u-.:  ..  ■  • 

tompoud 

Costo  dc  explotacidn 

Alto 

Bajo 

Costo  dc  opcracidn 

Alto 

Bajo 

Rendimiento  contmuado 

Divminuyc 

Constantc  , 

Conuvlcncia 
('apaodad  de  cilculo 

Poca 

Buena 

Excclcntc  I 
Pobre 

Rcat ci on  ante  lo  mesperado 

Buena 

Pobre 

Sentidts  comun 

Rxcckntc 

Pobre 

Lenguaje 

Bueno  j  Pobre  | 

F.ste  nuevo  clcmcnto.  la  Tecnotogia  dc  la  Informacidn.  poedc  cMar  y  dc  hccho 
licndc  a  cvtar  en  lodos  I  os  nivcles  del  slstcma. 

line  mere  hccho  imponc  un  nuevo  condicionantc  al  auditor  ha  dc  trabajar  ante  y 
coo  clcmcntos  dc  Tccnologia  dc  la  Informacido.  Dado  quc  scgiin  lav  proptat  Nonius 
Tt'cnicav  dc  auditoria  quc  regulan  su  actuacidn  cl  auditor  ha  dc  tcocr  cn  cucnu  lodos 
lov  clcmcntos  dc  la  entidad  induso  los  informilicos.  cl  cumplir  con  csta  funcidn  no 
cs  una  decision  graciablc  del  auditor  vino  una  obligation  detinida  por  la  Nonna.  Serta 
mis  quc  cohcrcnte  quc  una  firma  dc  auditoria  quc  por  la  nzrin  quc  fucrc  no  quicrc  o 
no  puede  cumplir  con  cste  requivito  sc  viera  obligada  a  iniroducir  una  linutacidn  al 
alcancc  dc  su  trabajo.  Es  evidentc  quc  no  habria  aplicado  lodos  lov  proccdimicntov 
prccitot. 

En  un  cscckntc  irabajo  at  onset  ido  por  The  Canadian  Institute  of  Chartered  Ac¬ 
countants.  una  invtiiuctdn  dc  rcconocido  ptcstigio  international.  vc  pi  antes  la  cucvtidn 
dc  cuilcs  von  actualmcntc  los  “libras"  o  voportc  dc  los  documcntov  fmancicros  ohjeto 
dc  la  labor  del  auditor  cn  un  entorao  informati/ado.  y  concluyc  quc  the  bos  libros  cstin 
matcriali/ados  cn  los  archives  eketrttaioos.  cs  dear  lov  archives  crcados  y  mantenidos 
cn  forma  ckctrdnica  por  las  aplicac tones  contables 

El  objeto  cs  distimo.  Esti  cn  un  voportc  diferente  FJ  auditor  financiero  vc 
altcrado  cl  objeto  dc  su  actividad  cn  cl  ventido  dc  quc  sc  ha  mlrodoctdo  la  Tl.  ahora 
csti  en  voportc  magndtico  y  cstc  cambio  true  eonsccucncias  dc  gran  calado  cn  cuanto  a 
proccdi mientos  dc  auditoria  financiers. 

Ha  de  cambiar  vus  proccdimicntos  cn  funckin  dc  las  nuevas  circunvtancias  y.  pot 
tanto.  dc  la  expansion  dc  su  alcancc.  La  auditoria  linanctcra  siguc  sKtvdo  auditoria  y 
financiers  con  la  difcrencia  dc  quc  cn  su  objeto.  cl  mismo  dc  siempre.  cs  deeir  cn  la 
informacidn  financicra.  sc  ha  inlroducido  la  Tl. 
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La  tituactdn  sc  hace  mit  dramatic  a  por  cl  hccho  cada  ve/  mis  citendido  dc  que 
d  coportc  documental  de  lot  apuntct  ckcttdnieos  no  cxitu  cn  abtoltio.  FJ  rattro  dc 
Million  a  traditional  hi  desaporrcido  como.  pot  cjcmplo.  cn  cl  FIJI  o  HT 

Afortunadamcntc  la  propia  T1  que  inode  cn  lot  proccdimicntot  qac  el  auditor  ha 
de  apitcar  proporciona  poralclamcnlc  medic*  dc  cjccuiarlot  dc  forma  cfidentc  y 
dirccta  1  ji  CAATS  tTecnicas  dc  Auditorfa  autndat  por  computador)  poocn  a 
ditpotictdn  del  auditor  una  amplia  t  artedad  dc  henamicnus  que  no  vSo  viahili/an  lot 
nuetos  proccdimicntot  tino  que  mejoran  teimblcmeote  tu  aplicacifo  y  amplian  la 
gama  divponihlc 

For  Unto,  dcducimot  claramcnic  que  la  introduccidn  dc  la  Tl  cn  lot  tittemas  dc 
taformacidn  afccta  a  lot  auditorct  dc  una  forma  dual: 


-  cambia  cl  topottc  del  objelo  de  tu  aelit  idad 

-  potibtliu  la  utili/aodn  dc  medtot  informali/adot  tCAATt)  paa  la  reah/acKSn 

de  tut  proccdimicntot 


1.6.  CONSULTORlA.  CONCEPTO 

Y  ct  cn  ctu  fate  dc  la  cxposicidn  cuando  parctc  penmen te  aftad  r  una  referenda 
a  la  convuhorfa.  Cootie ne  dittmguir  tu  conccpto  del  dc  auditorfa  parapredtar  nuettro 
entomo  coo  mit  c  xactitud. 

la  coouiltorfa  contistc  cn  "dar  atctoramiento  o  contcjo  tobre  lo  que  te  ha  dc 
hacct  o  edmo  llcvar  adccuadamcntc  una  determinada  activxlad  para  nbtener  lot  lines 
drtcadot" 

Lat  difcrcnciat  te  haccn  evrdentev  Lot  clctncntot  de  la  contuhorfa  podrfan 
rcvumirtc  cn: 


1 1 )  cootctudo:  _  [bar  atctoramiento  ocontrjo  _ 

2)  coodiciOo  I  dc  carte  let  ctpccialUado 

u'MicjcuSn  cn  hate  a  un  cxamcn  o  anilfafa _ 


audctouia  want*  osme 


filobteto:  U  actividad  < 

...  ...  .  lesublecer  U 

5)  final  idad:  1  . 


uestidn  tomctida  a  conndcraci6n _ i 

■anrra  dt  llesarla  a  ca bo  adccua- 


E*  una  funcibn  a  pnon  coo  el  fin  de  deternunar  cdmo  llcvar  a  cabo  uiu  funcidn  o 
actividad  tie  forma  que  obtenga  kn  rcsuliadot  pretend  xlos  I  j  auditoria  seiifica  a 
pmicnori  si  estas  condictcwiev  una  sea  rcali/ada  csla  IuikkJo  o  artividad.  sc  cumplcn 
y  I  O'  rcvuludirt  pretcndidos  se  obticnen  realmente. 

A  titulo  cnunciativo  podriamm  relacionar  lot  siguienic'  iipo'  o  clase*  de 
consul  toria: 


I.  Onat; 

^-rr-Mi  i 

Financiera  1 

.Informitica  | 

A'Csoranuento 

Planes  de  cuentav  1  DiseAo  e  implant acibn 

Procedi mient os  adminis- 

Asesoramiento 

_ 1 

Aplicaciones.  Dcsarollo. 

Planes  de  Contingencia  j  DiteA)  c  implanlacibn 

Especialmcmc  el  elemento  /  distingue  claramcMc  la  audit  ora  de  la  comultoria 
Depcndicndo  de  que  su  contciudo  tea  opinar  sobre  trnos  rcsuhados  'a.  dar 
asesoranucnto  o  conscjo  en  rclacida  con  una  actividad  a  dcsarolUr.  sc  Ualari  dc 
auditoria  o  coosuhoria  F.su  distinctdo  not  resultari  important!  cuando  queramot 
delimitar  las  funciones. 

Se  observa.  tin  cmkupi,  que  lat  dcfinktoocs  de  la  auditoria  informitica  licndrn 
a  cnglobar  el  concepto  de  consul lotia  la  auditoria  financitra.  con  siglos  dc 
eapcriencia.  »e  encuentra  perfectamcntc  dcfimda:  pero  las  define  tooes.  rcscAas  o 
referenda'  a  la  auditoria  informitica  non  variadas.  lo  que  es  tbgico  cn  una 
cspccialidad  tan  recicntc 

Dentro  del  abomco  de  dcfimciooes.  podcmos  citar 

At  Ocvie  deflnlctones  como  la  de  A. I  I  nomas  en  el  sentido  le  que  "la  auditoria 
informitica.  que  cs  una  parte  intcgrantc  de  la  auditoria.  «e  cstudu  por  'c  par  ado  para 
traur  probtemas  cspccificos  y  para  aprosechar  los  recunos  de  personal,  la  auditoria 
informitica  debc  real i /arse  dentro  del  marco  de  la  auditoria  general.  El  comet  kJo  de  la 
auditoria  informitica  tc  pocde  dividiren: 

-  Un  cstudio  del  sistema  y  un  anilisis  de  los  controlr*  organi/ativos  y 
operatives  del  departamento  de  informitica. 

-  Una  investigacidn  >  anilisis  de  lot  tistemat  de  aplkacidn  que  se  etkn 
desarrollando  o  que  ya  esten  implant  ados 


amt — cAHnM  •  «»™*>  •  ■ 


La  rcali/acidn  dc  auditorial  de  dales  reale*  >  de  multados  dc  I  os  ustcma*  quc 
sc  csien  ulili/ando. 

-  La  realizacidn  dc  auditorial  dc  cficiencia  y  cflcacia." 

B)  Incluycndo  la  dc  un  dcvtacado  nucmbro  dc  la  OAI.  Miguel  Angel  Ramos.  que 
define,  vrgdn  mis  manifestacionci  simplificadamcntc.  en  mi  tests  doctoral  U  auditoria 
icionnitica  cornu  “la  revision  de  la  propiu  informitica  >  de  mi  entoeno”  y  desglosa  sin 
ciractcr  exhaustive  que  Us  acuvidades  a  que  da  lugar  csta  definicidn  pueden  ver: 

-  Aniiisis  dc  riesgos. 

-  Plane*  dc  contingencia. 

Desurrollo  de  aplicacionc*. 

-  Ascsorainienlo  en  paquete*  dc  seguridad. 

-  Revision  dc  cootrolcs  y  cumplimicnto  dc  los  mismos.  asf  como  de  las  nonius 
legates  aplicablcs. 

-  Evaluation  de  la  gestidn  de  los  recurves  inlornsittcos 

O  A  la  de  J.  J.  Actia  que  por  su  parte  la  define  como  "Un  conjunto  dc 
proccdimiemos  y  tdcnicas  para  cvaluar  y  controlar  total  o  parcialrncntc  un  Sistcma 
Informiiico.  con  cl  fin  dc  proteger  mis  actives  y  recursos,  vcrificar  si  sus  actividadcs 
sc  desarrollan  eficieniemente  >  dc  acuerdo  con  la  nomutiva  informitica  y  general 
exittente  cn  cada  empresa  >  para  contcguir  la  eficacia  cxigida  en  cl  morco  de  la 
organiracidn  correspondiente". 

De  ellas  sc  desprende  quc  tienden  a  aharcar  conceplos  tanto  de  auditoria  como  de 
oomultorU.  En  la  llnea  dc  anilisis  quc  hemos  ira/ado  U  pnmera  distincidn  a  rcalt/ar 
serf*  U  difcrenciacidn  cnlre  auditoria  y  consultorla.  No  son  tfrminos  equivalences  y  cs 
precise  disiinguirlos. 

Nucstro  enfoque  pretende  ccntrarsc  cn  la  auditoria  segdn  cl  conccpto  quc  ya 
hemos  dejado  cxplicitado.  Y  denuo  dc  clla  U  financier*  dc  acuerdo  con  su  objeto  y 
finalidad  quc  incluye  cl  soporte  informiiico. 
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1.7.  VENTAJAS  DE  LA  INFORMATICA  COMO  HERRAMIENTA 
OE  LA  AUDITORIA  FINANCIERA 

1.7.1.  Grado  do  informatizacion 

tn  U  Joblc  vcrticntc  itblivi  a  la  introduce!  6n  e  influcncia  dc  U  TI  cn  cl  obfeto 
por  un.i  pane  y  ot  los  peoccdmuemos  por  otra  dc  U  auditorfa  financier  a  hemos  de 
referimos  cn  primer  lugar  al  grado  o  inicnsidad  dc  su  utilwackn 

En  cuanto  al  objeto  poetic  considerate  desde  cl  uso  dc  un  simple  PC  con  on  par 
dc  aplicacioncs  hiskas  como  pueden  set  la  contabilidad  >  un  proccsador  dc  tcuot.  a 
un  sislcma  cotnplcjo.  diuribuido,  utili/ando  base  dc  daios  en  clicntc  tervidor. 
i  me  grado  y  comunicado  con  otros  sitiemax  con  lot  quo  intcractiia  direclamcmc  como 
cn  cl  EDI.  Par  eve  evidente  que  las  tres  Normas  para  la  ejccuodn  dc  la  amdiiorfa 
adquicrrn  una  compIcjkUd  y  ampluud  diferrntes.  Mientras  inis  dctamtllado  cs  el 
o sterna,  mis  problcmitico  rcsulta  su  enfoque  por  pone  del  auditor.  Si  bien  los  nesgos 
de  un  pcqucfto  PC  pueden  scr  susuniisov  la  complcjidad  dc  los  mismot  cn  un  gran 
sistema  es  decisiva. 

Km  re  los  proccdimkntos  (kcnicat)  que  las  ires  Normas  dc  cjccucldn  dc  la 
audiiorfa  cstablccen  como  mcdios  dc  los  que  debe  valcrtc  cl  auditor  cn  la  ejccucidn  de 
su  trabajo  dcstacan  la  inspevcidn.  obscrvackta.  avcnguacidn.  confirmacidn.  cilculo  y 
anilisis.  Dc  ctias  sets  al  mcnos  c astro  sc  cjccutan  dc  forma  mis  efkicntc  con  mcdios 
mformiiicos: 


Inspcccidn:  como  la  compancibn  dc  daios  cn  dot  archives  o  cue  mas  distinias. 
cone  iliac  tones. 

Cilculo:  dc  amorti/acioncs.  proviuones.  ratios,  etc. 

Anilisis:  rcgrcsioncs  o  datos  que  cumplan  determinadas  condi ci ones. 
Confirmacidn:  cikulo  esudistko.  tekeetdn  y  cmisidn  dc  mucstras.  cumpli- 
rmcnio,  etc. 


1.7.2.  Mejora  de  las  t6cnicas  habituates 

No  rcsulta  difkil  justificar  que  Us  posibilidadet  del  auditor  utili/ando  mcdios 
clcctrdnicos  sc  amplia  enormcmcntc  coo  rcspccto  a  trabajos  nunuaks  sobre  listados 
en  popcl.  El  mere  me  mo  cn  vetoodad.  cfkkncia  y  segundad  cs  evidente. 

Para  todo  cllo  cl  auditor  poede  valene  sustancialmcntc  dc  las  doer  vis 
hcrramicntas  informilkas  que  ticnc  a  su  dispostcidn  y  que  podrfamos  catalogar  dc  U 
sigukntc  forma: 
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General  T  lalamicnto  de  textor 


Tralamicnto  dc  textoi 
I A  lo*vhartmg 

I _ lUtitktodct 

iccto  I 

EspcciAco  Gcncradorci  de  papclcr  dc  trahajo 
l  Admmiijrac  ion 
hipcciali/ador  n«e|r»iJoie* 


■WJ  V.1  ~ 


Tralamicnto  de  textor 
i  Hoyai  de  cilcilo 

ml- 

Simulacidn  pjalcla 
I  Rev ivi6n  anal  tic  a 
Sutcmai  cxjxmw 
!  Teticheck 


IV  forma  romera  podriamor  rcieAar  kw  objetivo*  que  x  cubrcn  coo  U  uiili/ao6n 
de  In  divcrrai  herrarmentar  enumeradav: 

-  Traiamtenio  de  lextos.  utili/ado  general menlc  cn  la  prictica  como  una 
maquina  de  exenbir  iupcrjutom.il  i/ada  para  eircularcx.  memoranda!, 
niemona.  ere. 

Coo  una  mayor  cipcciali/acidn  permite  automatirar  opera:  ioocv  general 
documentor.  rclacioiur  divcrvn  documentor.  etc. 

-  Ho/a  d*  cdlcalo.  utili/ada  para  efectuar  cilculov  automati/ar  rcxultado*  de 
diferenter  documentor  numlrico*  y  cn  algunor  caior  obtencidn  de  ratios.  etc., 
aii  como  general  actuali/aciooci  automatical.  importar  art  hi  v  or  de  otrar 
aplicacioncr.  y  pcoducir  grsUkcn  dirpomendo  de  una  amplla  gunu  de  fdrmulai 
financicrai.  ccondenkav  etc. 

-  Genentdoe  de  pope  let  de  iraha/o.  fundador  eienculmentc  cn  rl  tr  atanoento  de 
textor  dc  dondc  re  ohtiencn  plantillar.  formator.  etc.;  pcimite  cdicidn  y 
aclualiracitVn.  Clarifica  lot  documentor  por  Areas.  rcotorer.  personal 
inrolucrado.  etc. 

-  Flott  t  haning  produce  diagramai  representatives  de  f  undone*  reali/adar  o  a 
rr.ili/ar.  flujo  de  documentor,  etc. 

-  V  alidade  t:  cxirte  una  amplia  ganu  que  cubrc  derde  comunicacionex. 
vnuali/adorcs  dc  archmss.  bdiquedas  o  inclum  rectificadorcr  de  archil  or. 

El  OCR  er  una  arignatura  pendiente. 

-  Adminiitradorev.  efcctiian  cl  rcguimienlo  adminirtrativo  de  lar  auditorial 
Horar  empteadax.  Area*.  control  presupuestano.  etc. 


ai  nrrom  a  wfl>mm  wfcKroqx't-HtAmco 


-  Acceto  directo:  todas  Us  aplicac  tones  a  quc  nos  he  mot  rcfertdo  has  la  <1 
momcnto  y  las  posceriores  *e  tcftcrcn  a  datos  o  "archisot"  especiftcot  de  Us 
misnus  quc  el  auditor  ha  leclcado  cn  Us  apltcac  looet  o  ha  coptado  dc  otras  ya 
cxitfcnlcs.  La  gran  scnlaya  del  acccso  directo  cs  quc  adopta  como  arehivo  a 
leer  o  arvali/ar  "lot  dc  la  firma  auditada".  generalmcnte  lot  quc  comienen  U 
contahilHlad  de  la  mitma.  Sea  cual  tea  la  aplkucidn  de  coniabtlklad  quc  luya 
ulili/ado  U  firma  auditada.  Ut  apltcactonet  de  acccso  directo.  como  tu 
nombre  ttxhca.  adoptan  como  archivot  proptot  lot  realuadot  per  evis 
apltcactonet.  fV  etla  forma  sc  maicriahu  directamcntc  U  aseveraetdn  dc  quc 
lot  librot  del  auditor  ton  lot  archivot  mformtticos  del  auditado. 

Tomaisdo  como hilo conductor  la  cstnictura  de  ACL  tvfac  figure  l.l ).  una  de  Us 
aplicacionct  mit  dettacadat  de  ette  ctiik)  y  potiblemeiue  la  mat  cxtcndida 
mumhalmeme.  lomaremot  como  ctqucma  hitico.  quc  semot  en  U  pigma  tiguientc 

Lot  archivot  de  daiot  von  exactamente  lot  cxiuentes  en  el  autliiado.  cs  decir  lot 
archivot  fftacos  de  U  firma  auditada.  de  U  forma  y  con  U  codificaodn  con  quc  hay  on 
sido  grahadot.  hstos  daiot  no  cambun.  ACL  crea  pare  tu  tretamicnlo  el  “documcnto" 
que  conocnc  U  informat  ion  nccetaru  en  cuanto  a  dcfmicioaet  del  formato  del  arehivo 
dc  datot.  hatches.  Indices,  vistas  y  ctpacio  de  treha>o. 

La  defimctdn  del  formato  contiene  U  estructura  y  contenido  del  arehivo  de  daiot 
Incluye  informacidn  como  nomhre  dc  lot  campot.  codification  de  lot  daiot.  mirgenes 
doodc  comien/an  y  domic  termirun  Con  esu  informacidn  AO.  es  capa/  de  leer  e 
interpretar  el  arehivo  de  daiot  original  a  audiiar. 
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Figura  1. 1.  Lstrut  lura  tie  ACL 

Partiendo  tic  esU  siluacidn  ACL  pucdc  manipul.tr  I  os  dates  del  archive 
prScltcamcnic  dc  cualqutcr  forma  o  manera: 

-  Onienar 

-  Crooolojji/ar 

-  Extract  vcgiin  condic tones 

-  Estadfsticas 

-  Mucstras 

-  Clast  ftcar 

SAIo  existen  dos  limiiaciones  a  kvs  anilisis.  cilcukw.  s'crificacioncx.  etc.  que 
puedc  hacer  ACL: 

-  Que  cl  daio  deseado  cst<  cn  cl  archivo.  (Poe  cjemplo.  no  sc  podrfa 
crooologi/ar  si  cn  cl  archivo  no  figuraran  las  fcchav  > 

-  I  a  imaginaetdn  del  auditor,  que  combrna  los  diferentes  mandates  para  obtener 
la  informacidei  Tina)  que  dcsca  Crrando  incluso  nuevos  campos  eomputado*. 
peodocto  del  tratamiento  de  uno  o  varios  de  los  ya  existentes 


-  Contar 

-  Agregar 

-  Total  irar 

-  Estratificar 

-  Comparar 


i»  At  pithuuishhiviv  wwws.hjeeLiQros.me _ ,„M. 

E»  dc  destacar  la  posibilidad  dc  seleccionar  la  informacidr  quc  cumpla  una  o 
varias  condiciones.  Estos  filtros  rcsultan  dc  incalculable  valor  cuaido  sc  audita. 

Si  aAadimos  quc  la  rcspucsia  a  cualquicr  soltciutd.  sea  cud  sea  el  tamaAo  del 
archivo  de  daios.  %c  reali/a  en  segundo*  y  eti  cualquicr  caso  ca  poeos  minutes.  la 
imponancia  de  esta  aplicacidn  queda  perfcctamente  clam. 

A  Iflulo  rncrcneme  enuncialivo  y  cocno  punio  de  panida  para  cl  auditor 
■niercsado.  de  los  101  cilculos  y  anilisis  quc  se  practical,  en  las  ireas  mis  habit ualcs. 
scleccionamos  das  a  titulo  de  ejemplo: 


Ejemplo  I:  COMPKOB.UTON  DE  BALANCE 

Se  mdica  la  relacidn  de  mandatos  quc  permile  reali/ar  esta  optracidn. 


OPEN  Contabilidad 

Abrc  cl  archivo  "Contabilidad". 

STRATIFY  ON  Cuenta 

ACCUMULATE  Debe  llaher  Soldo  | 

Genera,  para  cada  cuenu  del  plan,  su  total 
al  debe.  al  haber.  y  el  saldo. 

Ejemplo  2:  CONCILIACI6N  ENTKE  COMPRAS  V  PRO\  EEDORES 
Se  indica  la  relacidn  de  mandatos  quc  permite  reali/ar  esta  operation 


OPF.N  Contabilidad 

1  SORT  ON  Imponc  lot  ..mpm*  ll 
|  Cucntaa-WM"  AND  DH.“D“ 

SORTON  Imponc  IO  Proceed* *o 

Abrc  el  archivo  "Contabilidad 

!'•  atchivo  Coavprxs"  con  aquellos 

asientos  dc  la  contabilidad  cuya  cucnta  sea 

1  fa  004  v  al  debe.  ordenado  por  el  imponc 
Produce  el  archivo  ~Pa>s  eedores"  con  IF 
Cucnta»“400"  AND  DH«"H"  aquellos 
asientos  dc  la  contabilidad  cuya  cucnta  sea 
la  400  v  al  haber.  ordemdo  por  el  imponc. 

OPEN  Compras 

Abrc  cl  reetdn  creado  archive  “Compras". 

OPEN  Provccdorcs  SECONDARY 

Abrc  el  rccidn  crcado  archivo 
"Pros  eedores”  como  archive  secundario.  , 

JOIN  l-ccha  Asiento  Imponc  WITH  Produce  cl  archivo  "Coaciliactdn  Compras  - 

Imponc  Asiento  Fee  ha  TO  “Conci-  Proseedorcs"  con  cl  re-ultado  dc  conciliar ' 

1  liacism  Compras- Pros  eedores"  "Compras"  con  "Provcedorcs".  utilizando 

PKEY  Imponc  SKEY  Imponc  cl  imponc  como  campo  jue  los  rclaciona. 

PRIMARY  SECONDARY 

www.FreeLibros.me 


CAHTVUJ  I  l  _A  INK  MmATlT A  (T>M< )  Ht  X>  AMlI  VT  A  DU  M  I  Ml  IK  HSAMIHtO  H 


Krvixion  analitlca 

Normalmcntc  t«  ulilira  la  hoja  dc  cilculo  para  obtcncr.  de  lot  datox  que 
toStiMlmcntc  xe  le  introduce!)  (Balance.  Cucntax  de  Pfrdidax  y  Gananciat.  etc  ),  lot 
ntMH.  pc  oporctoctcx  o  funcionrt  que  proporoonan  una  nueva  viuAn  comparand  de  tu 
contenido. 


SHtcmax  expert  ot 

Lax  apiicacionct  mix  atan/adax  cn  cualquier  campo  too  lax  conocidax  como 
uttrmax  expertox  relatixox  a  la  tamhiln  llamada  inteligencia  artificial.  Se  trail  de  uxar 
el  computador  para  que  proporciooe  rexultadox  o  concluxionc*  producto  del 
proeexamiento  de  unox  dalox  ctpccfficox  cn  bate  a  unox  conocimientox  prtexitteniex 
en  el  mixmo. 

Eate  xixtema  ya  sc  ha  utili/ado  en  divcrxox  campot.  por  ejemplo  la  medteina.  para 
dir  dufodxtkox  o  tratanuentox  cn  hate  a  lot  datos  del  pacicntc  que  xe  introducer)  en  la 
apfccacidn. 

En  cl  campo  dc  la  auditoria  xu  utiliracidn  mix  evidenie  ex  en  el  anilixi.x  y 
exaluacidn  del  control  inletno.  No  ha  xido  haxta  cl  ntomento  una  apiicacidn  que  xe 
haya  prodigado.  poxiblementc  por  la  dificultad  dc  completar  una  base  de 
conoctmicniox  adecuada  que  tOlo  lot  expertox  pueden  proporciorxar.  Se  dice,  como  ex 
coxiumbrt.  que  tax  grande*  emprexax  ya  ban  dctarrollado  xixtemax  expertox  que 
aptkan  cn  mayor  o  me  nor  rnedida  Sin  embargo,  que  xe  tepa.  no  xe  ha  dado  mocha 
ptMictdad  at  rcxpecto. 

Lot  fundamentox  de  un  .xixtema  expetto.  aplicando  la  mixma  filoxofla  extablevida 
por  lax  Normax  Tfcmcav  conxiuc  en  crear  unox  cuetiionariox  cuya  rexpxietta  tea  "xT* 
o  “no"  para  cm  tar  maticcx  opinablex.  divididot  por  ireax  de  actividad  y  que  xe  parta  de 
b  bate  de  que  una  lotalidad  de  rexpuextax  poxitivax  implica  un  tittema  cxcelente. 
Menox  dc  un  determinado  nitel  implicarfa  un  control  ikbtl  o  muy  tkbil. 

Ha  dc  incorporar  lax  pruebax  de  cumplimiento  correxpondientex  cuya  cuaiuia  te 
devgne  por  metbot  cuadfxticox  y  que  xirxan  tut  retpucMax  como  retroalimentacidn 
para  una  claxaficacidn  deflnitiva  del  xixtema. 

Etta  daxificactdn  a  xu  xer  proporciona  un  tamado  dc  muextra  para  lax  pruehax 
wxtanntax  a  reali/ar  axi  como  una  deftnicidn  dc  lax  nnxmav. 

Dextacan  entre  xus  ventajax,  tiempre  bqjo  la  supcrvixidn  del  auditor:  la 
objclividad  del  xixtema.  la  utiliucidn  de  frirmulax  cxtadixticax.  la  cuantificacidn  y 
etpecificacidn  de  pruebax  de  cumplimiento  y  xuxtantivax  adccuadav  la  actualtzacirin 
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dc  la  base  de  cooocimiento  coo  lot  nuevos  tistcmas  analisadot  y  el  toponc  Icjeal  que 
implies  cn  cm)  dc  litigio. 


DKS) 


m  c 

c-P  so 


Figart 1 1.2.  Kjrmpto  de  apheactdn  de  tiuena  eiperto  a  la  auditoria 


Test  Check 

F.ttt  pr  Aetna,  cads  vc /  en  menor  uvo.  coo ci tie  cn  introducir  cn  la  aplicacidn  que 
cl  aoditado  utilicc  un  coo fin  to  dc  valorct  cuyo  rctultado  tc  conocc.  Ettas  salutes  tc 
comparan  con  lot  que  cvcniualmcntc  proporcionc  la  ipltcactan 


Intcgradorc* 

Es  decir.  aqucllas  aplicacionex  que  intcnclacionan  todas  las  demit  para  crcar  un 
entorno  unico  que  utilira  la  totalidad  dc  la  informacidn  ohtemda  a  trasfe  dc  las 
di  ferrate*  hctramicnus  crcando  un  “cisterns  dc  auditoria". 

Van  at  dc  las  apJicackmct  mcncionadat  proporcionan  mcdiot  dc  prognmackn  o. 
sin  ter  tan  amNetosos.  la  potibilidad  de  crcar  “batches"  de  funcionamirato 
automiiKo  Ettos  hatches  o  coojuntot  dc  mstruccionet  pueden  opera;  conjunumcntc 
bnndando  la  potibtlidad  dc  reali/ar  opcracionct  complcjat  dc  forma  directs  v  edmoda 

Si  tomamos  cn  comidcracidn  cl  proccso  complete  dc  auditoria  financiers  -detde 
las  normas  y  proccdimicniot  cMabkctdos  pan  antes  del  propio  inicso  dc  la  auditoria 
Como  la  propucsta.  cootrato.  cilculo  dc  coato  hatta  cl  inforrac  y  rccomendacionet 
finales  patando  naiuralmcmc  per  lot  proccdimicntot  dc  cjecucidn  dc  la  auditoria. 
incluycndo  el  titlcma  expeno,  cl  acceso  dircclo  a  architot  informiticos.  las  pruchas 
anal  meat  y  adicionalcs  o  puntualcs  que  cl  auditor  dchc  llcvar  a  cabo.  y  las  Integra  mot 
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<r  un  xixtema  quc  auiomatice  unto  lax  actualizaoonex  pcrtincnicx  cn  baxc  a  Ion 
camNox  iMrodocidox  como  la  emixidn  >  txdcnacidn  de  papclcs  tie  trahajo 
juxtificativox  dc  lot  proccdimtcntox  aplicadox-.  cendremox  un  xixtema  o  metodoiogia 
de  inlcgracidn  quc  xitila  cn  un  xolo  entomo  lax  divcrxax  faxcv.  documcntox.  rcxuliadox. 
aciuali/ackioex.  etc.  dc  una  auditoria.  A  todo  exlc  proeexo  cx  a  U>  quc  dcnomuuriamm 
un  inlejudoc  quc  aun  cuando  no  abunda.  xc  vicnc  pen.ib*cndo  xu  ncccxidad. 


Ft  gum  1.3.  Frocno  (cmpUto  de  la  audnaria  /inane  irm 


1.7.3.  Evolucton 

El  propto  Canadian  Inxtitulc  of  Chartered  Accouniantx.  quc  xc  ha  preocupado 
muy  expccialmcntc  por  exta  proMcmMka.  define  un  c amino  hacia  la  plena  inxtitucrbn 
de  un  xixtema  dc  auditoria  informati/ado.  Hn  un  plantcanucnto  al  quc  llama  la 
Hipdtcux  dc  Exolucidn  ha  dixtinguido  difcrcntcx  ctapax  o  nivelex  quc  a  contmuacidn 
(ranxcnbtmo*  htcralmcmc  por  xu  rcprcxcntatividad  c  impodancia: 

Lax  finnax  dc  auditorfa  mix  avaiuadax  han  euhieno  lax  dox  pnmerax  ctapax  y 
actualmente  algunax  mtenun  adentrarxc  cn  la  lerccra  Lax  otrax  xdlo  conxixten  en 
"boenox  dcxeox"  pan  el  futuro.  pero  quc  xi  tax  xeguimox  xucintamentc  xemox  quc  nox 
cooduccn  a  quc  "la  audttorla  xc  convicnc  cn  una  hcrramicnia  para  la  conxtniccMWt  dc 
realidadcx  poliocax  >  ccondcmcax-  domic  la  aoditoria  >  conxultoria  xc  entrclazan. 
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llipoteviv  dr  evolution 


Alcance  A  _  Alcance  B  Akunce  C 

Aumcnto  dc  la  t'rcacidn  dc  Nkjora  dc  la  calidad 

compctitiv  idad  ik|ucm  dc  vida 


Mvri  5  (AS  [B5 

Nuevo*  conccptos  >  j  El  valor  aAadido  vc  |  La  auditorfa  adopta 
poradigmav  hasadov  '  convicrte  cn  cl  1  "cl  canktcr  dc  un 

cn  la  Tl  |  obfetivo  dc  loda  .  wnicio  dc 

|  auditorfa  |  convultorfa  y 

aniiiviv  continuado" 

[>■5 

|  1  -a  auditorfa  vc 

r  ,  1 

It  a  para  U 

Ji 

lOn  dc 
v  polfticav 

Nivel  4  A4  *B4 ~  ji 

GcmkSo  cvtrakgica  |  l.ov  auditorev  1  La  intrgracidn 

bavada  cn  la  Tl  i  adoptan  un  nuevo  '  lav  h c rrami 

1  concepto  dc  vu  auditorfa  la  1 

propia  actividad  clicicncia^HT 

rMejoe  compcawidn 
i  dc  todav  lav  partev 
impiicadasdc  kw 
bcneficiov  dc  una 
auditorfa 

Nivel  3  AJ  Tb3 

Nucvov  pcoducfm  lav  hcrramient.lv  l)c^HKodeuna  | 

dcpcndicntcs  dc  la  del  auditor  sc  l^flKg.inudc 

Tl  |  cquiparan  cn  arc 

sofuticacidn  al  ^flmamtvntu  '* 

|  vivtcma  dc  kw  ^^Kiudiloria 
'  clieotcv  ioniidB ^ 

CJ 

Sc  acalva  cl 
expectation  gap 

NM1  |A2  B2 

Auuvcnio  dc  la  Ampli^^Ke  la  |  An  memo 

i alidad  I  cohetj^K:  cuantitativo  y 

aud^pT  I  cualitjtivo  dc  k*v 

1  I  dawieubrimicnloiv  1 

C2 

Mono*  arguments 
cn  cuanto  al  pupcl 
del  auditor 

Nivel  1  \W~  1  Bl 

Reduction  dc  ‘  Rcvluccidn  dc  boras  |  Incrcmcnto  cn  la  | 
covlov  dc  auditorfa  |  rccupcracidn  de 

1  Iccatoa  1 

ci 

Rcduccidn  dc 

Irabajo 

adminivirativo  | 

hiKura  1.4.  Inienuikid  del  tfttto  ttr  la  tvolutUn 


1.7.4.  Grado  de  utilizacion 

Asalia  dc  mmediato  U  idea  dc  pot  quC.  vivto  lo  cxpocsto.  cl  grado  dc  utili/acidn 
dc  cvtav  pmihilidadc%  por  k«  auditors  ev  bajo  y  cn  moclio*  cam*  incipicntc. 
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Sc  tun  cfectuado  di  versos  estudios  >■  par  etc  desprenderse  cjuc  algunas  de  las. 
ra/oncx  pueden  ser: 


Costo  econdmico 

Falta  dc  convencimiento  en  cuanio  a  la  disrmnucido  dc  cos! ox.  No  sc  vc  coo 
clan  dad  que  la  inversidn  ncccsaria  sc  vea  compensada  por  la  cficiencia  que  sc  alcan/a. 

Par  esc  innegabte  que  k»  cosios  tamo  del  hardware  como  del  software  han 
diuninuido  extraordinanamente  cn  los  liltimos  ados  y  que  la  eventual  mverstdo  en  un 
tistcma  para  infomtaueacidn  de  la  auditoria  no  es  cn  abxoluto  significative  Cualquier 
somero  cuodio  demuestra  que  *u  rentabilidad  porcentual  es  siempre  sumamente 
ckvada. 


CompleJIdad  tccnlca 

Cierto  temor  revcrcncial  a  una  nueva  tCcnicj  que  mirada  desde  el  exterior  porece 
sumamente  complcja  y  algo  mAgico  que  de  por  »f  ahuyenta.  Esta  idea  poede  truer 
corao  corolarios  otras  conxideracioncs  negativ  ax  como  que  sc  crcc  que : 

•  Se  depende  de  los  tdcnicov 

*  No  se  puede  revisar  cl  trabajo  de  los  tdcnico* 

*  Problemax  de  comunicacidn  entre  cl  t&nico  y  el  auditor. 

•  Costo  de  los  tdcnicos. 

La  introduce 1 6n  y  ampliacidn  de  las  posibilidades  del  PC  que  con  sislemas 
operativos  sumamente  ficilcs  de  usar  pueden  realirar  trabajos  hasta  hace  pocos  ados 
(tservados  a  las  grandcs  instalaciones.  simpliftca  enormemente  y  pone  al  alcancc  dc 
cualquier  auditor  mcdiunamentc  familian/ado  con  la  informAtica  una  import  antfuma 
gama  de  labores.  Todas  las  que  hemos  venido  exponiendo. 


Falta  de  entre namlento  y  experknda 

Es  inncgablc  que  la  utili/acidn  de  las  tAcnicas  de  auditoria  asistidax  por 
computador  requieren  un  mfnimo  de  entrenamiento  y  conocimiento  Ij  gran 
diferencia  es  que  ext  os  mfnimos  son  pcrfectamente  asequibles  como  ya  hemos  descrito 
y  comigucn  que  cl  auditor  retenga  el  control  del  proeexo  dc  auditoria. 

Sc  gun  Klen.  el  auditor  ha  de  extar  en  posexwVi  como  mfnimo  de  las  siguientes 
cuilsdades: 


22  AlTMTOUlA  l~OS  ■  fTl  6 


-  Scrcxpcrto  auditor  (financicro) 

-  Knlcndcr  cl  duetto  y  mododc  opcrar  del  S.l. 

-  Tenet  conocimicntos  b&vicov  dc  tCemcav  y  lenguajcs  «Jc  programacidn. 

-  F.vtar  familian/ado  con  lot  vivtcmax  operatives 

-  Scrle  factiblc  podcr  idcntificar  probtemav  con  lot  focmatov  y  evtructur&s  tie 
base  de  dates. 

-  Ser  capa/  tie  tender  un  poente  con  el  profesional  tie  la  TL 

-  Saber  cuindo  pedir  apoyo  de  un  expecialivta. 

No  cabc  duda  de  que  cn  el  cniranuido  multidivciplmar  que  convlituyc  cl  acervo  de 
conocimicntos  de  un  auditor,  este  avpecto  viene  a  ampliar  vu  "programa”,  lit  uni 
nueva  faceta  que  viene  a  cnriqucccr  vu  pcrfil.  Si  not  ateneinoi  a  lav  evtadivticav 
divponiblcs  cn  EE.UU.,  cl  auditor  viene  adquiriendo  cstos  nuevos  cooocimientov  en  un 
70*  de  lot  cavo*  por  medio  de  enirenamicnto  en  la  propia  empress.  cn  un  22%  en 
seminariov  y  conferenciav  al  efecto  y  en  cl  8**  cn  el  entoroo  araddtnico.  Micntrav  la 
Academia  no  detarrolle  mis  net  terviciov  no  cabe  duda  dc  que  a  pcqueAa  >  medians 
emprexa  de  auditoria  vc  enfrenta  al  nuevo  rcto  dc  revolver  mi  reci.'laje. 

Otrav  incluyendo  la  preocupocidn  del  cliente  en  cuanto  a  la  teguridad  dc  dalox. 


1.8.  CONCLUSIONES 

F.l  objeto  dc  la  auditoria  fmanciera  ha  cambiado.  Incoryora  la  Tl.  Esto  trae 
convigo  cl  cambvo  de  los  "librov"  a  analizar  e  igualmcnte  la  ncccvidad  dc  aplicar 
nuevov  proccdimicnltM  que  ulili/an  herramicntav  mlocmaticav. 

En  la  prictica.  al  auditor  se  le  prevents  una  divyuntiva:  o  vc  adapts  a  la  nueva 
situacidn  abordando  el  carro  dc  la  cvolucidn  hacia  ttvetav  vumamente  halagucAav,  para 
lo  que  ha  de  adoptar  una  actitud  rcceptiva  hacia  lav  nuevav  tecnologfav.  o 
indcfcctiblcmentc  verii  una  vlctima  de  la  cvolucidn  que  no  quivo  ■>  no  vupo  afrontar. 


1.9.  CUESTIONES  DE  REPASO 

1 .  cCu4lcv  son  los  elementov  fumlamcntalcv  del  conccpto  ic  auditoria? 

2.  uinta*  claves  difereotev  de  auditoria  exivten? 

3.  ,.Qud  vector  ex  uno  de  lov  principatev  usuarios  de  lav  auditorial 

4.  ;  Oud  ventaias  aoorta  cl  comnutador  rcsoccto  al  trabaio  manual? 
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5.  iQoi  xignifican  i»  ugl»  CAAT? 

6.  *F.n  qu<  afccta  a  lo*  auditorex  la  imroduccidn  dc  lax  T1  cn  lot  uucmax  de 
mfoemacido? 

7.  iQui  diferenciax  hay  cntrc  audiloria  y  conxulioria? 

8.  ,  Ouikx  ton  lax  vcntajax  dc  la  inlonnilica  como  hcrramicnia  de  la  aodiuiria 
flMMhnt 

9.  iQut  puedcn  aport ar  lox  xixtemax  expenox  a  la  audiloria  tnformilica? 

10.  iCullcx  %on  lax  raronex  de  la  baja  uoli/acidn  de  lax  Tl  como  hcrramicnia  dc 
la  audiloria  financiera? 
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CAPfTULO  2 


CONTROL INTERNO 
Y  ADD1TORIA  1NFORMATICA 

Gloria  Sdnchez  Valriberas 

2.i.introducci6n 

Tradicionalmcntc  cn  matcru  dc  coatrot  intcroo  sc  adopuba  un  cofoquc  hasunte 
restringido  limiudo  a  kw  controles  conuWes  interno*.  F.n  unto  se  rclacionaba  con  la 
infoimacidfl  fmancicra.  cl  control  intcroo  cn  tin  icma  quc  intcresaba  principal  nveritc  al 
personal  financicro  dc  la  organi/acidn  y.  por  supucsto.  al  auditor  c.xtcmo.  El  conccpto 
de  control  intcrno  dc  mucha  gcntc  no  inchiia  inuchas  dc  las  aclividades  opcrativax 
claves  dcttinadat  a  pcevcnir  k»  rvcsgos  elective*  y  potcnciak*  a  los  quc  sc  cnfrcntan 
Us  orgamraciones  Al  producine  U  quiche.  de  numcrosas  cajat  dc  ahorro  y  otras 
orgara/acioncs  rcsultd  cvidcntc  quc  no  haMa  suficicnlc  coocicncia  dc  la  nccctsdad  dc 
kn  coot  roles  para  cvrtar  quc  los  problem**  surgkran  y  crccicran 

Durante  el  ultimo  dcccmo  la  prensa  ha  informado  sohcc  muchos  ctcindalos 
rclativos  a  errores  cn  el  otorganuento  de  erdditos  con  la  garantia  dc  inmuchlcs 
inexistentes  o  cxtrcmadamcntc  sobrcvalorados.  la  manipolacidn  dc  informacidn 
fioKKKra.  operac tones  burxitiles  rcali/ada*  coo  mformacidn  privilegiada.  y  muchos 
ottos  conocidos  fallos  dc  los  controics  quc  han  afcctsdo  a  empresas  dc  diferentes 
scctores.  fin  EspaAa  sc  han  dado  pasos  irnporuntcs  como  consccucncia  dc  nuestra 
ineorporaetdo  y  adapucidn  a  Europa. 

Adcmds  dc  la  mayor  atcocidn  quc  prestan  las  autoc.dadcs  al  problema.  sc 
obtervan  irnporuntcs  cambios  cn  las  empresas.  Dicbos  cambios  someten  a  una  gran 

L 


tension  a  I  os  controles  i  memos  existences  La  mayoria  de  las  orgam/ac  tones  Km 
acometido  van  as  imciativ  as  cn  lal  icntido.  tales  como: 

•  La  rccstructuracidn  de  los  proccsos  emptcsanalcs  (BP<  -Bussinm  Proem 
Re-engineering). 

•  1  j  gcxticm  de  la  calidad  total  (TQM  Total  Quality  Management). 

•  El  rcdimensionamicnto  pot  reduce  i<vn  y/o  por  aumente  del  lamado  hasta  c) 
nivel  corrccto 

•  la  contratacidn  externa  ( outsourcing J. 

•  La  descentrali/aciOn 

El  mundo  cn  general  csti  camhiando  cada  sc/  mis  ripidamcnie.  sometiendo  a  las 
empresas  a  la  accxSo  de  muchas  fucr/as  enemas  tales  como  la  cecieote  neccsidad  de 
acceder  a  Ion  mere  ados  mundialev  la  consolidacidn  industnal.  la  intcnsificacidn  de  la 
competencia.  y  las  nuevas  tccnologlas 

Las  tendencias  cstemas  que  inftuycn  sobre  las  empresas  son.  entre  otras.  las 
siguientes: 

•  La  gloh»li/acx!*i 

•  La  divcrsificactdo  de  actividades. 

•  la  climinacidn  de  ramas  de  ncgocio  no  rentable*  o  antiguts 

•  La  introduccidn  de  noevos  productos  como  resptaesu  a  la  competencia 

•  Las  (ustooes  y  la  (ormacidn  de  alian/as  estretlgicas 

Ante  la  raptder  de  los  cambtov  los  direct i sets  toman  cooctencia  de  qste  para  es-iur 
(alios  de  control  significalivos  deben  rcevaluar  y  rccsiructuur  sus  sistemas  de 
controles  intemos.  Deben  actuar  de  manera  proactiva  antes  de  que  surjan  los 
problcmas.  tomando  medidas  audaces  para  su  propia  tranquililad.  as(  como  para 
garanti/ar  a  los  cottsejos  de  admiiuttrectdn.  acciomslas.  comitri  y  publico  que  lot 
controles  intemos  de  La  empresa  cstin  adecuadamcnte  discftadot  para  hacer  (rente  a 
los  ret  os  del  (uturo  y  asegurar  la  imegndad  en  cl  momento  actual. 

Un  centra  tie  mfocmittca  de  una  empresa  del  sector  terciaho  sucle  tener  una 
importancia  crucial  por  sopottar  lot  sistemas  de  informaci6n  lei  negocto.  por  el 
volumen  de  recursos  y  presupoestot  que  maneja.  etc.  Por  li>  tanto.  aumenta  la 
complcjidad  de  las  nccesidades  de  control  y  auditoria.  surgiendo  en  las 
organ! raciones.  como  medidas  organi/aiivas,  las  figures  de  control  intemo  y  auditoria 
informiticos. 

la  auditoria  ha  cambiado  notablementc  en  los  ultimos  atos  con  cl  enorme 
impacto  que  ban  vemdo  obrando  las  ttoucas  in(ornvMicas  en  la  forma  de  procesar  la 
informacidn  pare  la  gerencia.  La  neccsidad  de  adquinr  y  mantmer  conocimientot 
actual i /ados  de  los  sistemas  in(ormaticos  se  suelsv  cada  vei  mis  xuciaMc.  si  bscn  los 
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aspcctos  bdsicos  dc  U  profesidn  no  han  vanado  Los  audnorcs  informatics*  aportan 
conocimieMm  espccialirados.  asi  coroo  su  familtaridad  con  U  lecoologia  informatics 
Se  sigucn  tratando  lac  mismas  cucstioncs  dc  control  cn  la  audnoria.  pcro  los 
espcctaliuas  cn  audit oria  infomutica  dc  Mstemas  basados  cn  computadorcs  ptcMon 
ana  ayuda  vattoaa  a  la  Organi/acibn  yak*  otro*  auditoces  cn  (odo  lo  relative  a  kn 
control  es  sobre  dichos  sistcmas 

Kn  mochas  organi/actones.  cl  auditor  ha  dejado  dc  ceiuranc  cn  la  cvaluactdn  y  la 
comprobacibn  dc  kn  rcsultados  dc  proccM*.  dcspla/ando  w  aicncibn  a  la  cvaluacibn 
dc  nesgos  y  la  comprobacibn  dc  controlcs  Muchos  dc  kn  controlcs  sc  incorporan  cn 
prograitus  infoemitM*  o  sc  real  i /an  por  parte  dc  la  funetdn  informltica  dc  la 
organiracidn.  representado  por  cl  Cootrol  Intemo  Infonrdiico.  hi  enfoque  ccntrado  cn 
controlcs  nortnalmcntc  cxige  conocimicnlos  information  a  nivcl  dc  la  lecoologia 
Mihuda  cn  cl  4rea  o  la  organiracibn  que  sc  examma 


2.2.  LAS  FUNCIONES  DE  CONTROL  INTERNO  Y  AUDITORlA 
INFORMATICOS 


2.2.1.  Control  Interno  Informatico 

El  Control  Interno  Informitioo  cootrola  dianamcntc  que  lodas  las  actividadcs  dc 
sislcmas  dc  mformacibn  scan  rcali/adas  cumpliendo  k*  proccdmucnlos.  estindarcs  y 
no  normas  fiyados  por  la  Direccibn  dc  la  Organi/acibn  y/o  la  Direccibn  dc  Informitica. 
as!  corno  kn  requenmiento*  legates. 

Is  nusibn  del  Control  Interno  InformktK'o  es  aaegurarse  dc  que  las  medidas  que 
sc  obticncn  dc  kn  mecaruunos  irapiantados  por  cada  rexponsablc  scan  corrcctas  y 
vilidai. 

Control  Interno  Informitico  suck  scr  un  brgano  tiaff  dc  la  Direccibn  del 
Drpmamento  dc  Informitica  y  csti  dotado  dc  las  personas  y  medio*  matenakx 
|nupu>viu>wdu>  a  k»  conxlxkn  que  «c  Ic  cncomieoden 

Como  poncipalcs  objetivos  podemos  indkar  los  siguicntcs 

•  Contro'.ai  que  lodas  las  actisidadcs  sc  rrakzan  cumpliendo  los  procedimicfflo* 
y  normas  fijados,  evaluar  su  bondad  y  asegurarse  del  cutnpliinicnto  dc  las 
normas  k  gales. 


Ascsorar  sobre  el  conocimknto  dc  las  normas 


Colaboear  y  apoyar  el  trabajo  de  Auditoria  Informitka.  asi  como  de  I* 
auditoria*  e  Menus  al  Grupo. 


•  Definir.  implantar  y  ejccutar  mccamvmos  y  controles  para  com  probar  cl  logro 
de  lo*  grade*  adccuados  del  servicio  informitka.  lo  cual  no  dehe  conuderme 
como  que  la  implaiMactOn  dc  k»  mccamsmos  de  medida  y  la  rctponsabilidid 
del  logro  dc  esos  niselcs  sc  ubique  excluMvamcnte  en  la  funcidn  de  Control 
I  memo.  sino  que  cadi  rcsponsablc  dc  objetivo*  y  rccurvos  cs  responsible  dc 
esos  nivcles.  ad  como  dc  la  impiantacidn  de  los  medio*  dc  mcdxla  adecuados 

Rrali/ar  cn  lot  difcrrntcs  tistemat  (centrales,  depaitamciitaks.  redes  localev 
PCs.  etc.)  y  entomos  inlormiticot  (produce  160.  desarrollo  o  pruebas)  el  control  de  las 
diferemes  actividadcs  opcrativas  sobre: 

•  El  complinuenlo  dc  ptucedimiento.  nor  mas  y  controles  dictadns.  Mercce 
retaliate  la  vigitancia  sobre  el  control  de  camhios  y  *  ersionc*  del  taflwan. 

•  Coot  roles  sobre  la  produccidn  diaria. 

•  Controles  sobre  la  calidad  y  cficicncia  del  desarrollo  y  mantenimiemo  del 
ioft*W€  y  del  servicio  mformitica. 

•  Controles  en  las  redes  dc  comunicacioncs. 

•  Controles  sobre  el  Manure  de  base. 

•  Controles  en  lot  sistemas  microinforraitkos. 

•  la  scgtmdad  informitka  Itu  rcsponsabilidad  puede  estar  asignada  a  control 
■memo  o  b*en  puede  asignirsclc  la  rcsponsabilidad  de  control  dual  de  la 
rrnsma  cuando  esti  cncargada  a  otro  drgano): 

-  Utuario*.  respon sables  y  pcrfilcs  de  uvo  de  archivos  y  hates  de  dalos 

-  Nonnas  de  seguridad. 

-  Control  de  mfotmacidn  clatificada 

-  Control  dual  de  la  seguridad  informitka. 

•  Ucencias  y  relaciones  contractuales  con  icrccrot. 

•  Asesorar  y  transmitir  cultura  sobre  el  riesgo  informitko 


2.2.2.  Auditoria  Informatica 

I -a  Auditoria  Informiuca  cs  cl  proceso  de  recoger.  agrupar  y  evaluar  evident  rat 
para  deteimmar  si  un  sistema  informati/ado  salvaguarda  los  activos.  mantime  la 
integridad  dc  los  dalos.  I  leva  1  cabo  cfica/rneme  los  fines  de  la  organiracidn  y  utili/a 
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cfioentcmcntc  I o%  recursos.  Dc  cvtc  modo  la  auditoria  informal  ica  sustcnta  y 
ronfimu  la  convecucidn  dc  I  os  objctivos  tradis  lonaks  dc  la  auditoria: 

•  Objctivos  de  protection  dc  nctivos  c  intcgndad  dc  datos. 

•  Objctivos  dc  gcstidn  que  aharcan.  no  solamentc  k«  dc  protccckWi  dc  acllvos. 
sino  tambkn  los  dc  cficacu  y  cflclcncia. 

El  auditor  cvaliia  y  cotnprucha  cn  dcterminados  mouse nt in  del  licmpo  los 
controkt  y  proccdimientos  infocmativos  mis  contpkjos.  dcsarrollando  y  aplicando 
Wen mecani/adas  dc  auditoria.  mcluycndo  cl  uso  del  software,  hn  muchos  cases, 
ya  no  cs  post  Me  verifkar  manualmcnte  los  proccdimientos  informati/ados  que 
resumcn,  cakulan  y  clasilican  dates,  por  k>  que  sc  dcbcnl  cmplcar  software  de 
auditoria  y  otras  tCvmcas  asistidas  por  computador. 

El  auditor  cs  responsablc  dc  revisar  c  informar  a  la  Direccidn  dc  la  Orgam/acibn 
sobtc  cl  dttcAo  y  cl  fusKionarmcnto  dc  los  controks  implantados  y  sobre  la  fiabitidad 
de  la  informacidn  sunumstrada 

Sc  pueden  cstablcccr  ires  gnipos  dc  funcioncs  a  reali/ar  por  un  auditor 
mformitK'o: 

•  Pamcipar  cn  las  revisions  durante  y  despots  del  disefto.  rcali/acidn. 
implantation  y  explotacidn  dc  aplicacioocs  informativas.  asi  como  cn  las  fates 
analog  as  dc  rcali/acidn  dc  cambros  important  cs. 

•  Revisar  y  ju/gar  los  cootrolcs  implantados  cn  los  sistcmas  informatisos  para 
verificar  su  adecuacidn  a  las  drdcor*  c  instrucciones  dc  la  Direct  idn. 
requisites  legates,  protcccibn  dc  confldcncialidad  y  cobcrtura  ante  crrorcs  y 
fraudes. 

•  Rcsisar  y  ju/gar  el  nivd  dc  cftcacia.  utilidad.  (iabilidod  y  segundad  de  los 
cquipos  e  informacibn. 

2.2.3.  Control  intemo  y  auditoria  inform6ticos:  campos 
anAlogos 

La  ctolucibn  dc  ambas  tune  tones  ha  sido  cspcctacular  durante  la  ultima  ddcada. 
Muchos  controks  i  memos  fucron  una  vc/  auditorcs.  De  bee  ho.  muchos  dc  los 
actuates  respon  sables  dc  Control  Intemo  Informitico  rccibtcron  format  idn  cn 
segundad  informal ica  tras  su  paso  por  la  formacibn  cn  auditoria.  NumcTOsos  auditorcs 
sc  pasan  at  campo  dc  Control  Intemo  Informitico  debido  a  la  similttud  dc  los 
objctivos  profesionaks  de  control  y  auditoria.  campos  ana  logos  que  propician  una 
transscidn  natural. 
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Aunque  ambax  figurxt  ticnen  objctivoi  comunct.  cxiucn  difcrenciat  qec 
conviene  mati/ar 


I  SIMILITUDES  I  Pertooal  intemo 

1  CofKvinucnim  ctpccialiradot  cn  Tecnologia  de  la  Informaodo 
1  Verificacidn  del  cumplimiento  de  controlct  inwnm,  normal  iva 
|  y  proccdimicntot  enable*  ido*  por  la  Dircccidn  de  Informilica  y  I 
I  _ _ _ 1  __  la  Pircocidn  General  para  lot  interna*  de  infonnacidn _ . 

DIFKRKM  IAS  AnilWft  d*  Im  COKrolct  en  cl  Anihut  .ic  un  moment o 
dia  a  dia  |  informitico  delermtnado 

1  Informa  a  la  Direccidn  del  j  Informa  a  la  Direccido  Gene- 1 
I  Dc  portamento  de  informiiica  rat  de  la  Organiracidn 
J  Sdlo  pcrvxul  mtemo  Pertooal  intemo  y/o  extemo 

1  EJ  alcancc  de  nn  funcionct  ei  (  Ticnc  cobcrtura  tobte  lodo* 
untcamcntc  tobre  el  De  parti  lot  component**  de  lot  I 

memo  de  Informiiica  tittemat  de  infoemaodo  de ' 

I  I  1  la  Orf»"t',»<~4dn  I 


2.3.  SISTEMA  DE  CONTROL  INTERNO  INFORMATICO 
2.3.1.  Definicidn  y  tipos  de  controles  internos 

Sc  poede  deftnir  el  control  mtcroo  como  "cualquiet  aclividad  o  accidn  reali/ada 
manual  y/o  automaticamcntc  para  prevenir.  conegir  err  ore*  o  irrcgulandadct  que 
puedan  afeciar  al  functonarmenlo  de  un  sittema  para  contcguir  tut  objelivot". 

Lot  controlct  cuando  te  dneAcn.  detarrollen  e  implanien  han  de  ter  al  menot 
complctot.  timpiev  fiablct.  rcti tablet,  adecuadat  y  rmublct.  Retpecio  a  etto  ultimo 
habri  que  anal i /ax  el  cotlc  ncsgo  de  tu  impiantacidn 

Lot  controlct  mtemot  que  te  utiliran  en  el  entomo  informitico  continuan 
cvolucionando  hoy  en  dia  a  medida  que  lot  tittemat  informitico'  te  t-uelven 
complcjo*  Lot  progretot  que  te  producen  en  la  tecnologia  de  toponct  fiticot  y  dc 
voftware)  han  modificado  de  manera  tignificaiiva  lot  pmccdmucrHn*  que  te 
empleaban  tradicionalmenle  para  controlar  lot  procetot  de  aplicactones  y  para 
getuonar  lot  titiemax  dc  informacida. 

Para  ategurar  la  integridad.  ditpomNlidad  y  efkacia  de  lot  tiacmat  te  requicren 
complcyot  mecanixmot  de  control,  la  mayoria  de  lot  cualet  ton  automiuco*  Rrtulia 
inieretante  observar.  tin  embargo,  que  hatu  en  lot  interna*  tervidor/ciienle 
avaruadot.  aunquc  algunot  controlct  ton  complctamcntc  automitxot.  otrot  ton 
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completanienie  manualcv  >  mochos  dcpenden  dc  una  combination  dc  clcmcntos  de 
software  y  dc  procedimicnto*. 

Hittdncamcntc.  los  objetivo*  de  lo»  controlcs  informiticos  sc  fun  c  Unfit  ado  en 
U»  uguicntcs  caiegorUs: 

•  Control  ft  preventives:  pan  tutor  dc  evitar  cl  hccho.  coma  un  software  dc 
segundad  que  smpida  k»  acccsos  no  auton/ados  ol  vistcma 

•  Control  ft  dr  tec  In  os:  cuando  fallan  los  preventives  para  tiatar  dc  conoccr 
cuanto  antes  el  cvcnto  Poe  cjcmplo.  cl  regittro  dc  i  menus  dc  acceso  no 
autoruados.  cl  registro  dc  la  actividad  diarta  para  detector  crrorcs  u  omistone*. 
etc. 


•  C<mt roles  torretlivot  facililan  la  vuclla  a  la  normalidad  cuando  sc  Kan 
producido  inodenciav  Poe  cjcmplo.  la  rccuperacidn  de  un  urctuso  daftado  a 
partir  de  las  copias  dc  seguridad 

Como  cl  coocepto  dc  controlcs  sc  ongind  en  la  profetidn  de  luditocfa.  resulta 
importance  conoccr  la  relacidn  que  cxislc  entre  los  mftodo*  dc  control,  los  objetivo* 
de  control  y  los  objetivos  dc  audtloria.  Sc  trata  dc  un  (etna  diffcil  por  cl  hccho  de  quc. 
butdricatncme.  cada  mftodo  dc  control  ha  estado  asociado  unfvixamente  con  un 
objetivo  de  control  (por  ejemplo.  la  seguridad  dc  orchis  os  de  da  los  sc  consegufa 
scacillamente  mantemendo  la  sola  de  computadores  ccrrada  con  Uasc.. 

Sin  embargo,  a  medida  quc  los  si  Me  mas  infornUtico*  sc  tian  sue  ho  mis 
cocnplcjos.  los  controlcs  informiticos  han  evolucionado  hasta  conscttirsc  en  procesos 
integrados  en  los  que  se  aientlan  las  difercncias  entre  las  ealegorias  tradicionalc*  dc 
ccotiules  informdiicos. 

Por  ejemplo.  cn  los  actuates  sistemas  informiticos  puedc  rcsultar  diffcil  ver  la 
diferencia  entre  seguridad  de  los  programas.  dc  los  datos  y  objetisws  dc  control  del 
toftwarc  del  sistema.  por  quc  el  mivmo  grupo  dc  mftodos  dc  contiol  satisfacc  cast 
KUlmcMC  los  ires  objetivos  dc  control. 

La  relacidn  quc  cxistc  entre  lot  mftodos  dc  control  y  los  objetivos  de  control 
p»edc  demostrarse  mediantc  cl  sigusentc  cjcmplo.  cn  cl  quc  un  miuno  conjunto  dc 
mftodo*  dc  control  sc  utiliza  para  satisfaccr  objetivos  dc  control  tanto  de 
maMcninuento  como  de  seguridad  dc  los  programas: 

•  Objetivo  de  Control  de  maruentmienJo:  asegurar  quc  Us  modificacioncs  dc  los 
proccdimicntos  programados  cstin  adecuadamentc  disefada*.  probodas. 
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•  Objrtivo  dr  Control  dr  itgundad  dr  prvgramar.  garantirar  que  no  sc  pocdca 
cfcctuar  cambiot  no  autori/ndot  en  I  cm  proccdimicntos  programadot. 


2.3.2.  Implantacidn  de  un  sistema  de  controles  intcrnos 
informiticos 

Los  controles  pucdcn  implantarsc  a  varies  nivclcv  difcrcntes.  la  cvaluacidn  de 
lot  controles  de  U  Tccnologta  de  la  Informacidn  exige  anali/ar  diveevos  eiememot 
iMcrdcpendiemev  Poe  ello  cs  import  jnte  I  legal  a  coevocer  bten  la  configuracibn  del 
viviema.  con  el  objeto  de  identificar  I  cm  elemcntov,  peoductos  y  herranucMav  qx 
existen  para  saber  dbndc  pucden  implantarsc  k»  controles.  axf  coeno  para  idendficae 
poviblct  (icv  gov. 

Para  lie  gar  a  cooocer  la  configuracido  del  viviema  «  nocesario  documeniar  lot 
delallev  de  la  red.  avl  como  lot  ditlintot  mvelcv  de  control  y  elementcM  rclacionados: 

•  Eruomo  dr  rnt.  cvqucma  de  la  red.  dcscnpcibn  de  la  configuracido  hard*1 
de  comunicacionc*.  detcripcidn  del  software  qoc  sc  utihra  como  acceso  a 
iclccomunicacionct,  control  de  red.  tituaetbn  general  de  lot  compwtadorev 
entoenos  de  have  que  vopoetan  aplicacionev  critical  y  convideracionev  rclativav 
a  la  seguridad  de  la  red. 

•  Configuration  dr!  computodor  bast:  coeifiguracidn  del  vopoete  ffsico.  entoeao 
del  si  sterna  operativo.  software  con  particionc*.  entoenos  (pruebav  y  real), 
bibliotccas  de  peogramas  y  conjunto  de  datos. 

•  Entonto  dr  apUcacionty.  procetot  de  transaccione*.  sivtcmas  de  gestidn  de 
bate*  de  dative  y  entoenos  de  peoccvos  divtribuidos. 

•  Productos  y  htrramttntar.  software  para  desarrollo  de  programat.  software  de 
gestidn  de  bibliotecav  y  para  opcraciones  automdticas. 

•  Srgurtdad  drl  computodor  base  identificar  y  verificar  usuariov,  control  de  ac¬ 
cevo.  regutro  e  informacidn.  integridad  del  sistema,  controles  de  supervisibn. 


Para  la  implantacidn  de  un  sistema  de  controles  intcrnos  informiticos  habei  que 
defirar: 

Gestidn  dc  vistemas  de  informacidn:  polfticas.  pautas  y  nonius  tdcmcas  que 
sirs  an  de  base  para  el  disefto  y  la  implantacidn  de  lot  titfemas  de  informacidn  y  de  los 
controles  coercspoodicntcs. 


frsrS 
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-  Admimttracibn  de  wslcmas:  controlcs  sobre  la  actividad  dc  k»  ccntros  de 
datos  y  o(ta>  funcsooes  de  apovo  al  uucma.  inchiycndo  la  admimUracxSn  dc 
Utitdn. 

-  Scgundad:  mcluyc  las  ires  clasc*  dc  controlcs  fundamcntales  implantados  m 
el  software  del  sistema.  integndad  del  si  sterna,  coefidencialidad  (control  dc 
accesol  y  disponibtlidad. 

-  Gcstido  del  cambio:  scporacidn  de  las  pruebas  y  la  produce  tdo  a  nivel  de 
software  y  controlcs  de  procedimientos  para  la  migracidn  de  prognunas 
software  aprobados  y  probados. 


Control  Interno  y  Audltorta 


PORMACION  Y  MEHTAUZACION 


La  imptaruacuVi  de  una  poiitica  y  culiura  sober  la  scgundad  rcquaerc  que  sea 
rrabrada  por  fases  y  cst<  rcspaldada  pot  la  Direccido.  Cada  funcidn  juega  un  papel 
impottantc  cn  las  disumas  etapav 

Ihrn  turn  de  Negocio  o  IMreCftdn  dr  StUrmas  de  Informactdn  (&.!.)'■  Han  de 
definir  la  polftica  y/o  directrices  para  k>s  sistcmas  de  infomuckSn  en  base  a  las 
exigences  del  negooo.  que  podrin  ser  intemas  o  cxlemas. 

Oiwr/ibi  Jr  fi^vwfrini:  M»  dc  definir  las  normal  dc  AmrionimirMn  del 
rotor  no  informitico  y  de  cada  una  de  las  funcionci  de  Informitica  mcdiante  la 
creatidn  y  publtcacifo  de  proccdimienun.  estindarev  metodologia  y  normal, 
aplicablei  a  todas  las  Areas  de  Informitica  asf  como  a  los  usuanos.  que  estable/can  el 
narco  de  funcwnamienio. 

Control  Interno  Informitico  Ha  de  definir  los  difercMes  controles  penddacos  a 
rtahrar  co  cada  una  dc  las  funciones  mformAticas.  de  acuerdo  al  nisei  de  nctgo  de 
cada  una  de  cllav.  y  set  discAados  con  forme  a  kr  objetivos  de  negocio  y  dentro  del 
■narco  legal  aplicable.  l-stos  se  plasmarin  en  los  opoctunos  procedimientos  de  control 
Memo  y  podrin  set  prescntisos  o  de  detection.  Realirari  peniSdicamcmc  la  revision 
de  los  controles  establccidos  de  Control  Interno  Informitico  informando  dc  las 
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desviackxte*  a  la  Dircccidn  «Je  Informitica  y  suginendo  cuantos  cambiot  ere* 
convementcs  cn  los  controls.  aii  como  txansmitiri  constant  entente  a  loda  la 
organization  dc  Infomtitica  la  cultura  y  political  del  nexgo  infxmitico. 
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Auditor  mttnw/txttmo  m/ormdtico:  Ha  de  rcviiar  la»  difercntes  controks 
tiMcmoi  definidoi  en  cada  una  de  lax  funcioncs  informiticas  y  el  cumplimienlo  de 
normal  iva  interna  y  externa,  de  acucrdo  al  nivel  de  neigo,  emforme  a  los  objetivoi 
definidoi  por  la  Direcci6n  de  Ncgocio  y  la  Dircccidn  dc  Infornitica.  Informant  a  la 
Alta  Dtreccidn  dc  loi  hechos  observados  y  al  detectarsc  defiocnctai  o  auicnciai  de 
tommies  recomendarin  act tones  que  mimmiccn  los  rtesgui  qur  pueden  originane 

la  creacidn  dc  un  si  sterna  de  control  infomtitico  ei  una  responsabtlidad  dc  la 
Gerencia  y  un  punto  dexiacable  de  la  polftica  cn  el  entomo  informitico. 


A  continuacirin  xe  indican  algunos  tommies  micmoi  (no  lodos  los  que  deberfan 
definite)  para  internal  de  information.  agmpados  por  seccioncs  funcionaks.  y  que 
serfan  loi  que  Control  Intemo  InformAtico  >  Auditorfa  Informitica  deberian  verificar 
para  deterrninar  xu  cumplimienlo  y  validez 


I.  font  roles  generates  organi/ativos 

•  Politicos:  deberin  servir  de  base  para  la  planificaciOn.  control  y  evaluacidn  por 
la  Direction  de  las  actividades  del  Dcpanamento  de  Informitica. 
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Pfanificacidn: 

-  Plan  Eumiegico  de  Information,  rcalizado  por  lot  drganov  dc  U  Alla 
Dircccidn  de  la  limprcvi  doodc  *c  definen  lov  proocvov  corporaiivat  y  % 1 
convidcn  cl  uvo  dc  lav  divervav  tecnologUv  dc  informacidn  am  como  lav 
amcnarav  y  oportuiudadcv  dc  su  uvo  o  dc  hi  autcncia. 

-  Plan  Infortnduco.  rcali/ado  po»  el  Depaflamemo  de  Informilica.  dctcmuna 
I<m  caminov  prccivov  para  cubrir  lav  noccudadev  dc  la  Empreva 
plavnvindolav  cn  proyccto*  informiiicov 

-  Plan  Central  de  Seguridad  tjiuca  v  logical,  que  garanticc  la 
confidencialidad.  inlcgridad  y  divponibilidad  dc  la  informacidn 

-  Plan  de  emergencia  ante  deuulres.  que  garanticc  la  divpombrlidad  dc  kw 
vivtemav  ante  eventov 


hetindarev:  que  rcgulen  la  adquiucidn  dc  rccurvK.  cl  divrdo.  dcvanollo  y 
modifWacidn  y  cxplotacidn  dc  uvtemav 

Procedi  mientov  que  devenban  la  form*  y  lav  rcvpoeiuabvlidadcv  dc  ejccutoria 
para  regular  lav  rrlacioocv  entre  cl  I>rpanamcnio  dc  Inform&ica  y  lot 
departamentov  ununot. 

Organi/ar  el  DepartamcMo  de  Informilica  cn  un  nivcl  vuficicMemcntc 
vupenor  dc  cvinictun  organi/ativa  como  para  avegurar  mi  indcpcndcix  la  dc 
loc  departamentov  usiunoi. 

Devcripcidn  dc  lav  funcionev  y  rcvponvabtlidadet  dencro  del  Departamcnto  con 
una  clan  vcparacidn  dc  lav  mivmav. 

Poiilicav  dc  pcrvonal:  vclecodo.  plan  dc  formacido.  plan  dc  vacacioncv  y 
evaluation  y  promocidn. 

Avegurar  que  la  Dircccidn  reviva  lodov  lov  informcv  de  control  y  rcvuclvc  lav 
cxccpcionet  que  ocurran. 

Avcgunr  que  evivte  una  politic*  dc  clavificacidn  de  la  informacidn  para  vaber 
dentro  dc  la  Organiracidn  quC  perxonas  evlin  autonzadav  y  a  quC  utformacidn. 

Dcvignar  ofictalmcntc  la  figura  dc  Control  I  memo  Informbico  y  dc  Auditorfa 
I  a  formit  va  (evtav  dov  figurav  vc  nnmhrarin  inlcmamcMC  en  Nave  al  tamaAo 
del  Deparumento  dc  Informitica). 


2.  Conlrolcs  dc  desarrollo.  adqukkion  y  mantenimiento  dc  dstcmas  dc 

informacidn 

Para  que  pcrmiian  akan/ar  k  cficacu  del  sistcma.  cconomia  y  cficicncsa. 
mtcgndad  de  Un  datos.  prmccciOn  de  los  recursos  y  cumpltaucMo  coo  lac  Icyes  y 
regulacioncs 

•  Meiodologfa  del  clelo  de  vida  del  desarrollo  dc  ustemav  hi  cmplco  podri 

gar  anti/ar  a  la  alia  DircociOn  que  ce  alcan/arin  los  objetivos  definido*  para  el 

sisicma  kstos  mio  algunot  commies  quo  dehen  cxtxtir  en  la  meiodologfa: 

-  La  alia  Direccidn  debe  puhlKar  una  normativa  sobre  el  mo  de  meiodologfa 
dc  ciclo  de  vida  del  desarrollo  de  sistcma*  y  revisar  £sia  periOdicamenic 

-  La  meiodologfa  dehe  cstableccr  los  papcles  y  rcsponsabilidadcs  de  la» 
dLitinlat  ircav  del  Depanamcnto  de  Informfcka  y  dc  los  usuanov.  asf  como 
U  compoaicido  y  respoosabilidadcs  del  cquipo  del  proyecio. 

-  Lav  cspccificac  tones  del  nucto  sistcma  dehen  ser  defintdas  por  los  usuanos 
y  quedar  cscriuv  y  aprobadas  ante*  dc  que  comknce  el  proceed  de 
desarrollo. 

-  Dehe  ctublcccrsc  un  cstudio  tccnolOgico  dc  vtabilidad  en  el  cual  >e 
formulen  for  mac  altcmativas  de  alcan/ar  lot  objetivos  del  proyecio 
acompoAadas  de  un  anilide  cosic-bcnclicio  de  cada  altcrnativa  . 

-  Cuando  sc  sclccoooc  una  altcmatisa  dehe  rcalirarsc  cl  plan  director  del 
proyecio.  Kn  dicho  plan  dehcri  cxistir  una  meiodologfa  dc  control  dc 
codes. 

-  Proccdimicnios  para  la  definicidn  y  documentacidn  de  cspccificacionct  de: 
dice  ho.  de  enlrada.  de  salida.  de  archie  ov.  de  proccsos,  de  programas,  de 
conlrolcs  dc  segundad.  de  pislas  de  auditoria.  etc. 

-  Plan  de  valtdacidn.  serificacion  y  pruehav 

-  Lsiiodares  de  p  rue  ha  de  program**.  de  prueha  de  sistcma* 

-  Plan  dc  convenadn:  prueha  de  aceptaodn  final. 

-  Los  proccdimicnios  dc  adquisicidn  dc  software  deberin  seguir  las  polfbcu 
dc  adqussictdn  de  la  Organiracido  y  dtchos  producios  debieran  ser 
probados  y  rcsisados  antes  de  pagar  por  ellos  y  ponerlos  en  uso. 

-  La  control  aoOn  de  programas  de  servicios  de  programacidn  a  medida  ha  de 
eslar  justificada  medianic  una  petKiOn  escriu  de  un  director  de  proyecio. 

-  Dehcrin  prepararse  manuaks  de  operaoOn  y  mantenimiento  como  parte  de 
lodo  proyecio  de  desarrollo  o  modificacidn  dc  sistcmas  dc  informacidn,  asf 
como  manuaks  de  usuano 

•  LxplotaciOn  y  mamenimienco:  cl  estabkeimiento  de  commies  asegurari  que 

los  daios  se  iraian  dc  forma  congrucntc  y  c  sac  to  y  que  cl  conlenido  de 
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si.stemas  *6U)  serf  modtficado  mediante  autonzacibn  adccuada.  £sto%  van 
algunos  dc  los  cootrolcs  quc  sc  dcbeo  implantar: 

-  Ptoccdimientos  dc  control  de  cxpkxacidn. 

-  Sistcma  dc  contabilidad  para  axignar  a  usuanos  lot  costc*  asociados  con  la 
explotacidn  dc  un  sistcma  dc  infonnactdn 

-  Procedimicnto*  para  rcali/ar  un  scguimicnto  y  control  dc  los  cambiox  dc 
un  sistcma  dc  tnformacibo. 


3.  Cont  roles  de  cxpMaobn  dc  sKtemas  dc  informaridn 

•  Planificacibn  y  GcmkVi  dc  iccwmk  definir  el  prcsupuesto  opcralivo  del 
Dcpartamcnto.  Plan  dc  adquisicibn  dc  cquipox  y  gcMiOn  dc  la  capacidad  dc  los 
cquipos. 

•  Controls  para  usar.  dc  mancra  cfectiva  los  rccursos  cn  compotadorcv 

-  Calcndario  dc  carga  de  trahajo. 

—  Programacibnde  personal. 

-  Mantcnimicnto  prcvcntivo del  malcnal. 

-  Gestidn  de  pcoblcmas  y  carnbios. 

-  ProccdimicMax  dc  facturaciba  a  usuartos. 

-  Sistcma  dc  gettibn  dc  la  bibliotcca  dc  soporte*. 

•  Ptoccdimientos  dc  sclcccibn  del  software  del  sistcma.  de  instalacibn.  dc 
mantcnimicnto.  de  segundad  y  control  dc  cambios 

•  Segundad  fisica  y  Ibgtca: 

Ocftnir  un  grupo  dc  segundad  dc  la  informacibn.  siendo  una  dc  sus  funcioncs 
la  administracibn  y  gcstidn  del  software  de  segundad.  revisar  pcnbdtcamenic 
los  mformes  dc  violac tones  y  actividad  de  segundad  pan  tdenufkar  y  resolver 
incidentcs. 

-  Coot  roles  ffsicos  para  asegurar  quc  cl  accevo  a  las  insialacioncs  del 
Departantemo  de  Informitica  quesJa  restnngido  a  las  personas  autori/adas. 

-  Las  personas  c  sterna  s  a  la  Organi/acibn  deherfn  set  acompaAadas  pee  un 
miembro  dc  la  planulla  cuando  tengan  que  entrar  cn  las  insulacioncs. 

-  Instalacibn  de  medulas  dc  protcccibn  contra  cl  fuego. 

-  Formacidn  y  concicnciactdn  cn  proccdimicntos  dc  segundad  y  cvacuacidn  del 
edificio. 

-  Control  de  acceso  restnngido  a  los  computadorcx  medtante  la  astgnactbn  dc 
un  sdcntificados  de  usuano  con  palabra  clave  personal  c  intransfcnble. 
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-  Normas  que  rcgulcn  cl  acccso  a  los  rccursos  informitios 

-  Existencia  dc  un  plan  dc  contingencies  para  cl  rc.paldo  de  rccursos  dc 
compotadoe  crfticos  y  para  la  rccuperacidn  dc  los  scrstoos  del  Dcptutamento 
Informitico  despofs  dc  una  interruption  imprevista  dc  km  mtsmos 


4.  (  on i roles  cn  apllcacioncs 

Cada  aplicacidn  debc  llcvar  controlcs  incorporados  pan  garantirar  la  entrada. 
actualization.  validc/  >  mamcmnucnio  completes  y  cxactos  dc  los  dates.  Las 
cxtcsliones  mis  important*  cn  el  control  dc  los  dates  son: 

•  Control  dc  entrada  dc  datos:  proccdinuentos  dc  coiversidn  y  de  entrada. 
validation  y  correct  »0o  dc  datos 

•  Controlcs  dc  tralamicntos  dc  dates  para  asegurar  qae  tvo  sc  dan  dc  aka. 
modifican  o  bon  an  datos  no  autonzado*  para  garantirar  la  integridad  dc  los 
mismos  mediante  proecsos  no  auton/ados 

•  Controlcs  dc  ulidas  dc  datos:  sobre  cl  cuadrc  y  reconciliation  dc  saltdas, 
proccdimicntos  dc  distribution  dc  saltdas.  dc  gestiOo  dr  ctrorcs  cn  las  saltdas, 
etc. 


5.  Controlcs  especificas  dc  cicrlas  tccnologias 

•  Controlcs  cn  Sistemav  dc  Gesiidn  dc  Bases  dc  Datos. 

-  El  software  dc  gesliOn  de  bases  dc  datos  para  prever  cl  acccso  a  U 
cstructuraciOn  dc.  y  cl  control  sobre  los  datos  comparotos,  deberi  mstalarsc  y 
mantenerse  sic  tnodo  tal  que  asegure  la  integridad  del  software,  las  bases  de 
datos  y  las  instntccioncs  sic  control  que  deftnen  el  entomo 

-  Qs»c  c*»4ii  skTiinUav  Us  icspomatitlKlaUcs  sobre  la  plan  (kactOn.  organi ration, 
dotation  y  control  dc  los  octivos  de  datos.  cs  dccir.  un  administrador  de  datos. 

-  Que  cxistcn  proccdimicntos  para  la  descnpciOn  y  tot  cambios  de  datos  atl 
convo  para  cl  mantenimiento  ski  dicctonano  dc  datos. 

-  Controlcs  sobre  el  acccso  a  datos  y  dc  concurrcncia 

-  Controlcs  para  minimizar  faltos.  tccupcrar  el  cniomo  dc  Us  bases  dc  daces 
havta  cl  punto  dc  la  calda  y  minimizar  cl  tiempo  ncce.sano  para  U 
rettipcraCiOn. 

-  Controlcs  para  asegurar  la  integndad  dc  los  datos:  programas  dc  utiltdad  pm 
comprobar  los  enlaces  ftsicos  -punteros-  asociados  a  los  datos.  rcgislros  de 
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control  pan  mantcner  kn  balances  tranutonot  dc  trantaccione*  par*  hi 
posterior  cuadrc  con  coulee  geoerados  por  cl  utuano  o  pot  otros  sittemav 

Cootrolce  en  informitica  dmnbuida  y  redo: 

Plano  adccuadox  dc  implantacidn.  conversion  y  peuehat  de  accptaodn  para  la 
red. 

Exiucncia  dc  un  grupo  dc  control  dc  red. 

Controlo  para  asegurar  la  companbtlidad  de  coojunlo  de  datot  entre 
aplicacionet  cuando  la  red  o  distnbinda. 

Proccdimientot  que  definan  lac  medtdat  y  controlet  dc  tegundad  a  ter  utados 
cn  la  red  dc  informAtaca  cn  conexidn  con  la  dixtnbucidn  del  contcnido  dc  bases 
de  daloa  entre  k*»  deport  amen  lot  que  usan  la  red. 

Quc  %e  ideniiOcan  todos  lot  conjunct*  de  datot  tcnubics  de  la  red  y  que  te 
han  determinado  lac  etpeciftcac  tones  para  tui  tegundad. 

Existencta  de  tnventario  dc  tod  os  lot  activos  de  la  red. 

Procedimicnkn  de  ropaldo  del  hardware  y  del  software  de  la  red. 

Existencta  dc  manteninuento  prccentivo  de  lodot  lot  activot. 

Que  exitten  controlet  que  vcnfican  que  lodot  lot  mentajes  de  talida  te 
valtdan  de  forma  nitinaria  para  asegurar  quc  contiencn  dirccoones  dc  destine 
vilidav 

Controlet  dc  tegundad  USgtca:  control  de  acceto  a  la  red.  cstaWecimicnto  de 
perfilet  de  utuano. 

Proccdimientot  de  cifrado  dc  informacidn  sensible  quc  te  tranimitc  a  travO 
de  la  red. 

Proccdimientot  automincos  para  resolver  cicrrct  del  si  sterna 
Monitori/aci6n  para  medir  la  cficicocu  de  la  red. 

Diteflar  cl  trazado  flnco  y  las  mcdidat  de  tegundad  de  las  I  incat  dc 
cotnumcacidn  local  dentro  de  la  organizacido. 

Dctcctar  la  conecta  o  mala  rcccpcidn  de  mensajet. 

IdentifK'ar  lot  mensajet  por  una  clave  individual  de  utuano.  por  terminal,  y 

|u  el  iiuuriu  itc  kokiku  del  okiiujc. 

Revisar  lot  control ot  de  manteninuento  y  el  licmpo  medio  de  tervicio 
acordadot  con  el  protcedor  con  objeto  dc  obtener  una  cifra  dc  control 
consume 

Dctcrminar  si  el  cqutpo  muhiplcxor/cooccntrador/proccsatlor  frontal  remoto 
ticne  Idgtca  redundante  y  podcr  de  rcspoldo  coo  rcalimcntacidn  automitica 
para  el  caso  dc  quc  fallc. 

Atcgurarsc  de  quc  haya  proccdimientot  dc  recupcracidn  y  reinicio. 

Atcgurarsc  dc  que  existan  ptstas  de  auditorfa  que  poedan  utarte  cn  la 
rcconstruccxki  de  lot  arc  hit  os  de  datos  y  de  las  transacciooes  de  lot  divctvtt 
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terminalev  Ochc  cxiMir  la  capacidid  de  rastrcar  lot  Cato*  emit  la  terminal  y 
cl  usuario. 

('onsadcrar  circuitos  de  conmutacidn  que  men  iuta*  alternatives  pan 
difercmcs  paquetes  de  informacadn  provenience*  del  mavmo  menvaje;  evto 
of  ret  c  una  forma  de  seguridad  en  cavo  de  que  alguicn  nterccptc  los  menvaje* 

Cont role*  sobre  computadorev  personates  y  redes  de  area  local: 

Poliltcav  de  adqutucidn  y  utilization 

Normanvas  y  pnvedinueniov  de  desarrollo  y  adqutuoOn  dc  software  de 
aplicacionc*. 

Proccdimicnto*  dc  control  del  software  contratado  bajo  licencia. 

Controles  de  acceso  a  redes,  median te  palabra  clave,  a  raves  dc  comfMitadorct 
penoaalcs. 

Rev  isiooes  pcnddicas  del  uso  de  los  compuladore*  personates 

Polincav  que  contcmpten  la  seteccidn.  adqaitaciOn  e  tnsulactdo  de  redev  dr 

irea  local 

ProccdimicMav  de  segundad  fisica  y  Idgtca. 

I  )c  portamento  que  realise  b  gcsOOn  y  soporte  tdcnicu  dc  b  red.  Controles 
para  cvitar  modifkar  la  configwacidn  de  una  red.  Rccoger  informative 
detallada  sobre  lov  .Minn  existcMev  Arquitectura  (CPU's.  Disco*.  Memoria. 
Streamers,  Term  males,  etc.).  Concctividad  (LAN.  mini  to  hou.  etc.),  software 
(sistenu  operativo.  utilidades.  tenguaje*.  aplicacionc*.  etc),  Scrvicioi 
toportado*. 

Invent ar«>  actualirado  de  lodas  las  aplicacionc*  de  b  Irtidad 
Polfuca  referente  a  b  organization  y  ulili/aodn  de  los  disco*  duros  de  k» 
equipo*.  a*f  como  para  la  nomcncblura  de  los  archavo*  que  comic nen.  y 
sen  Hear  que  contiene  al  me  nos  obltgaloricdad  dc  ctiqartar  el  disco  duro  coa 
el  ndmero  de  serie  del  equipo.  creaodn  de  un  subdirectory  por  usuario  cn  d 
que  te  alnvacenarin  todos  vus  arctiivo*  peivado*.  a*f  como  creacidn  de  u* 
subdirectory  publico  que  coMendri  lodas  las  aplicacionc*  de  uso  comun  para 
los  divtmtos  usuario* 

Implantar  hcrramienU*  dc  gestidn  de  b  red  con  el  fin  de  valorar  ui 
rendimiento.  planificacidn  y  control. 

Proccdimiemos  dc  control  de  lo*  file- Iran t/er  que  se  real i ran  y  dc  controles  de 
acceso  para  lo*  equipo*  con  posibdidadr*  de  corauncacibn.  Politic**  que 
oMigucn  a  b  desconexidn  dc  lew  equipo*  dc  las  lire**  de  comunicaoOo 
cuando  no  se  e*t4  haciendo  uso  dc  elb*. 

Adoptar  lo*  proccdmucnto*  dc  control  y  gestton  adcctaado*  para  b  inlcgridad. 
pnvacidad.  confidential  idad  y  seguudad  dc  la  informaodn  contcnida  cn  redes 
de  irca  local. 
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Cuando  ciisu  cooexidn  PC-Host.  comprohar  que  opera  bap  los  connotes 
nccesanos  para  evilar  U  carga/cxtraccidn  de  duos  tic  forma  noautori/ada 
Conlratos  de  manirntmicnio  (umo  pceventivo  como  correetivoo  detective) 
Cuando  cn  lav  accioocv  de  mantenuniento  ve  requiera  la  accidn  de  lerccrov  o  la 
salida  de  lots  cquipos  de  lev  It'mitev  de  la  oficiiu.  te  defer  an  evublecer 
proccdimientos  para  evitar  la  divulgackn  de  mformackn  confidential  o 
sensible. 

Manicncr  un  rcgistro  documental  de  Us  acetones  de  mantemnvenio  reaheadav. 
mcluy endo  la  desenpekn  del  problcma  y  U  soluckn  dada  al  trisroo. 
lass  compuUdorcs  deberin  estar  conccudo*  a  equipot  de  connnuidad  (UPS's, 
grupo.  etc.). 

Protec ci do  contra  incendios.  inundaciooev  o  electricidad  estitua 
Control  de  accexo  flsioo  a  lo»  recur vov  micromformincos:  laves  dc  PCs. 
Areas  restringidas.  Ubtcackn  dc  impresoras  (propias  y  de  red).  Preserve  kn 
dc  robov  dc  dispowtisos.  Aulori/ackn  para  dcsplaaamicnos  de  cquipos. 
Acceso  fisico  fuera  de  horaho  normal 

Control  de  acceso  fisico  a  los  dal  os  y  apiicac  tones  almacenamiento  de 
disqueies  con  copias  de  backup  u  otra  informacidn  o  apltcactdn. 
proccdimientos  de  destrucckn  dc  datos  e  informes  confidencialcs. 
•dcniificacidn  dc  disquctcs/cuiUs.  invenuno  completo  de  disqueies 
almacenados.  almaccnamicnio  de  documentacidn. 

Fa  los  compuudorc*  en  que  se  proresen  aplkactoors  o  datos  vnsibles  insular 
protcctores  dc  oscrlacido  de  linea  ekevka  >  sitlcmat  de  alimenlacidn 
mmtcrrumpida 

Implantar  en  la  red  local  productos  de  segundad  asl  como  herrarrocMas  y 
utilidades  dc  segundad. 

Adcsuada  identificackn  de  ussianos  en  cuanto  a  las  siguietees  operaciones 
alus.  haps  y  modificaciones.  cambios  de  password.  exptou:kn  del  log  del 
st  sterna. 

Controlar  las  conexioncs  remous  m/out  (CAL):  Modems.  Gateways.  Mapper 
Proccdimientos  para  la  insulackn  o  modifkacido  de  soft  wire  y  csubiccer 
que  la  dirccckn  es  consc icnie  del  riesgo  de  virus  informitkos  y  otros  software 
malioosos.  asf  como  de  fraude  por  modificaciones  no  aulori/adas  de  software 
ydaftos 

Controle.s  para  evitar  U  introduce  kn  de  un  sistcma  opera* so  a  trases  de 
disquctc  que  pudiera  vulnerar  el  sistcma  de  segundad  cstablec  do 
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2.4.  C0NCLUSI0NES 

La  importance  akanzada  por  cl  uto  de  la  informitica  durante  kn  dltimot  aftot  ha 
mJo  ctpcctacular.  Tra*  cue  fendmeno  te  encucntra  cl  deteo  dc  beneficianc  dc  lot 
cuatro  grander  logrot  que  cua  iccnologfa  ha  aportado: 

•  Racionali/aobn  dc  costot. 

•  Mejora  dc  la  capocidad  dc  toma  dc  dccitioncs.  hncicndo  <ua*  mix  ripidat  y 
dc  me  nor  net  go.  al  comar.  dc  mancra  cau  mmediata.  con  la  informacidn 
precita  Mejora  dc  la  c  alidad  dc  lot  scrvtciot  debido  al  mere  memo  dc  la 
capacidad  para  adaptor*  dminucamcnic  al  mcrcado. 

•  Naciitucnto  de  tcrviciot  a  clicntcs  hasadot  cn  la  nueva  tccnologia  tin  cuyo  uu> 
tcrian  unposibks  dc  ofrcccr. 

La  informitica  no  c*  algo  ncutro  en  la  empreta.  uno  quc  ticnc  un  cfcclo 
ctlructuramc  quc.  aftadido  a  tu  carictcr  cada  »«  nth  intend vo.  a  la  variedad  crectcnlc 
dc  lat  aplicaciooct  y  a  la  dc  lot  medtot  diUnbuidot.  la  haccn  rum/gica  Todo  ello  ha 
permitido  mejorar.  dc  mancra  vuttancial.  lot  rctulladot  ccoodmicot  al  licmpo  quc  w 
han  ditparado  lot  cottct  dc  lat  int  eruooet  informiticat 

La  informitica  no  c6k>  ha  dejado  dc  ter  una  simple  herramtenta  para 
tnntformanc  cn  un  modo  de  curucturactdn  dc  la  empreta.  tino  que  la  informacidn  et 
uno  de  lot  activot  mit  important**  Lat  aplicaciooct  dc  un  funcionamiento  anormal. 
aunque  tea  temporal,  dc  la  informitica  lendrin  rcpcrcutiooct  cada  vez  mit  gratet 
para  la  empreta.  pudicndo  incluso  porter  cn  pcligro  mi  uipersivencia  ante  la  cnormc 
dcpcndcncia  dc  lot  uticmas  informiticot  La  mtcgracidn.  cn  particular  graciat  a  las 
redes,  hacc  cl  problem*  todavia  mit  grate:  lat  consecucncias  dc  una  anomalia  poeden 
ptopatarte  aJ  exterior  de  la  empreta  c  incluto  akanrar  al  usiuho  final.  No  hay  quc 
ocultar  lot  probk-tnat  con  el  prctexlo  dc  iranquilizartc.  tino  quc  convicnc  prepararte 
para  aportar  tolucionct  aun  cuando  dstat  tcan  pare  1a let  al  pnncipio. 

F-t  retpontabilidad  dc  la  Direcofa  plaMear  una  euraiegia  dc  invcrtionct  cn 
rccurtot  informiticot  atf  como  implanur  tiucmat  dc  controlet  mtemot  de  mancra 
quc  sc  garanticcn  unot  gradot  dc  cftciencia  y  tegundad  tuficiemet  dc  lot  activot 
informiticot.  Como  contecucncta.  aumenta  la  complcjidad  dc  lat  neocudadcx  dc 
control  y  auditorfa  turgicndo  cn  lat  organi/actonet  como  mcdidas  preventivav. 
detcctivat  y  corrcctivat  lat  figunt  dc  Control  I  memo  y  Auditorfa  Informiticot. 

Et  prccito  tupcrtitar  continuamcMc  lot  concrolet  intemot  informiticot  para 
ategurarte  de  que  el  procevo  funckma  tegtin  lo  previtto.  Euo  et  may  importante. 
porque  a  mcdida  quc  cambian  lot  factoret  mtemot  y  exterao*.  cootrolct  quc  una  ter 
rctultaron  iddncot  y  cfcctivot  poeden  dejar  de  scr  adecuadot  y  de  dar  a  la  Direccidn  la 
razonablc  tegundad  quc  of  redan  antes. 


www.FreeLibros.me 


CAHlVt  <>:  COVTROt.  IVTTKM >  Y  AllMinlllA  IMOKMATtCA  «« 


Las  funciones  de  Control  I  memo  >  Auditors*  Informtiticos  prestan  un  scrvkio  de 
valor  aAadido  al  ayudar  a  las  organixacioncs  y  a  mi*  directives  a  cuniptir  \u\ 
obligackmcs  relatives  al  control  mterno  mediante  d  proceso  dc  rccogcr.  agrupar  y 
oaliur  evidences  para  determinar  as!  un  viucma  mlormati/ado  salvaguarda  k» 
•ctnos,  manticnc  la  mtegridad  dc  los  dales.  I  leva  a  cabo  cfica/ntcmc  los  fines  dc  la 
Organizacidn  y  utili/a  cficientcmente  los  rccurvw. 


2.5.  LECTURAS  RECOMENDAOAS 

EDP  Auditing.  Auerbach  Publications. 

hif/gcrald,  Jerry.  Controles  inttmoi  para  siuemas  dr  computation.  Ed.  Lunusa 
Wiley. 

Marlin.  James.  Srrurity.  Accuracy  and  Prttacy  in  Computer  System.  Ed. 
Prentice  Hall. 

Seguhdad  integral  en  las  organise  tones.  Ed.  Trillas 

Institute  Auditorcs  I ntemos  de  EspoAa.  Control  internet,  audnoria  v  segundad 
mformdtica. 

2.6.  CUESTIONES  DE  REPASO 

1.  iQ u*  cambiot  en  las  empresas  provocan  tcnskVi  en  el  control  mterno 
cxistenie? 

2.  iCuiles  son  las  funciones  del  control  interne  informitico? 

3.  ;,Cuilc*  son  los  objetivos  de  la  Auditoda  Informitica? 

4.  ,  Cuilcs  son  las  semejantas  y  difercncias  entre  Control  Interne  y  Auditor!* 
Inform&ka? 

5.  Ponga  cjemplos  de  controlcs  correctives  cn  disersas  ircav  informiticas. 

6.  .  Cuiles  son  los  principales  controlcs  cn  cl  4rea  dc  desarrollo? 

7.  iQot  proc esos  definiria  para  controlar  la  informitica  distribuida  y  las  redes? 
$  ,Qut  controlcs  se  debenan  ettablcccr  cn  las  aplicacionrs? 
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9.  ,,C6mo  justificaria  nice  un  dircctivo  de  empresa  U  inversion  ncccsana 
control  >  aoditoria  mfonnalica 7 

10.  Docnba  la  informitKj  como  modo  dc  cvtnacturacton  dc  las  empresas. 
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MKTODOLOGfAS 
DE  CONTROL  INTERNO, 
SEGURIDAD  Y  AUD1TOR1A  INFORMAT1CA 


Jose  Maria  GcnuUez  7-ubirta 

3.1.  INTRODUCCION  A  LAS  METODOLOGIAS 

Scgtin  el  Diccianario  de  la  lingua  dr  la  Krai  Academia  EspaAok,  Mtl'OOO  ex 
d  "modci  de  dear  o  hater  con  orden  una  coxa”.  Asimlsmo  define  el  diccionano  la 
pabbra  METOOOl.OGfA  como  "con junto  de  mdtodox  que  *c  liguen  en  una 
invextigacidn  cientlfica  o  en  una  expoxkidn  doctrinal”,  ttto  xignifica  que  cualquier 
proeexo  cientifico  debe  extar  xujeto  a  una  dixciplina  de  proceco  defimda  con 
ancenoridad  que  llamaremox  METODOl.OGlA 

La  Infonnitica  ha  xido  tradicionalmente  una  materia  compkjj  en  todox  cm 
atpretox.  por  to  que  xe  hace  neccxaria  la  utili/acidn  de  mctodologiax  ei  cada  docthna 
que  b  oompooen.  dexde  mi  dixefto  dr  ingenkrfa  ha  via  el  dexarrolk*  del  software.  > 
cdtno  no.  la  auditorfa  de  lox  sixtemax  de  informaadn. 

Las  metodologfax  uxadax  por  un  profexional  dicen  mucho  de  xu  forma  de  entender 
to  trahajo.  >  extun  directamcnle  relacionadax  con  %u  experienua  profexional 
acumuLada  como  parte  del  comportamiento  humane  de  "acicrto  /error”. 

Axinmmo  una  metodologla  ex  necevaria  para  que  un  equipo  dr  profcxiofialex 
ikancc  un  resuhado  hotnogdneo  tal  como  xi  lo  hictcra  uno  xolo,  pot  lo  que  resulta 
habitual  el  uxo  de  metodologiax  en  lax  cm  pretax  auditorax/conxultorai  profexiorulex. 
deurrolladax  por  lox  mix  expert  ox.  para  conxcguir  rexultadox  homogdneox  en  cquipox 
de  trahajo  hetcrogdneos. 
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La  prolifer  aci6n  dc  metodologias  cn  cl  mundo  de  la  auditoria  y  cl  cooml 
informilico*  sc  pueden  obsersar  cn  los  pnmeros  a/tos  dc  la  d4cada  dc  los  ochrau. 
paralclamente  al  nacimicnto  y  comercializacidn  dc  detemunadas  hcrramxnta 
mctodoldgicai  (coroo  cl  software  dc  anilisis  dc  nesgos).  Pen  cl  uso  dc  mttodos  it 
auditoria  cs  cau  paralclo  al  nacinucmo  dc  la  informitica.  cn  la  <|uc  existen  mocha 
disciplines  cuyo  uso  dc  mclodologiat  constitute  una  praetKa  habitual.  Una  dc  dla>  a 
la  seguridad  dc  los  sistemas  dc  infoemacida 

Aunque  dc  forma  simpltsta  sc  trata  dc  identificar  la  seguridad  informitica  a  U 
segundad  Idgica  dc  los  sistemas.  nada  csli  mis  lejos  dc  U  realidad  hoy  cn  ift 
cxtend^ndose  sus  rakes  a  lodos  los  aspcctos  que  xuponen  nesgos  para  la  infotmitica 

flstc  y  no  otto,  debc  scr  cl  campo  dc  actuactdn  dc  un  auditor  informitKa  it 
finales  del  sig lo  XX.  cn  uno  dc  los  jrandcs  sfmbolos  del  dcvnollo  tecnoldgico  de  la 
tfpoca  dc  la  humanidad  que  nos  ha  locado  vivir. 

Si  deftmmos  U  "SEGURIDAD  DE  I.OS  SISTEMAS  DE  INFORMACldS' 
some  la  doctrine  que  trata  dc  los  nesgos  informiticus  o  crcados  por  la  informitica. 
ententes  la  auditoria  cs  una  de  las  figuras  involucradas  cn  cstc  proccso dc  protcctsta  j 
presets  acidn  dc  la  informacidn  y  dc  sus  mcdios  dc  proccso. 

Por  unto,  cl  nisei  dc  teguridad  informitica  cn  una  ertidad  cs  un  objetivo  a 
cvaluar  y  csli  cbrccumcntc  rclaoonado  con  la  calidad  y  cficacia  dc  un  con  junto  dc 
acetones  \  medidas  destinadas  a  pruteger  y  presersar  la  infortnacidn  dc  la  entidad  J 
sus  mcdios  dc  proccso. 

Resumicndo.  la  informitica  crca  unos  riesgos  mformiticot  dc  los  que  hay  que 
protege:  y  presersar  a  la  entidad  con  un  entramado  dc  contramrdida.s.  y  la  calidad  y  la 
cficacia  de  las  mismas  cs  cl  objetiso  a  cvaluar  para  podcr  idmtifnar  as i  sus  puntos 
•Wales  y  mejorarlos.  tUu  cs  una  de  las  funcioncs  dc  los  auditores  informilicos.  Pc* 
tanto.  debemos  profundi/ar  mis  cn  esc  entramado  dc  contruncdidas  para  ver  quf 
papcl  ticncn  las  mctodologfas  y  los  auditorcs  cn  cl  nusrno  Para  explicar  cstc  aspccto 
diremos  que  cualquier  contramcdtda  nacc  de  la  composKidn  dc  varioa  faclorts 
expresados  cn  el  “grifien  valor"  ilf  la  fi|ura  3.1. 

Todos  los  faclorts  dc  la  ptrimtdc  intcrvscnen  cn  la  composicidn  dc  una 
contramedida. 
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Figura  J.  I.  Factorei  que  componen  una  cotttramedula 

I  .A  NORMATIVA  dcbc  dcfinir  de  forma  data  y  preciva  todo  lo  que  debe 
cxiitir  y  ter  cumplido.  umo  desde  cl  punto  dc  villa  conceptual.  corno 
prlctico.  desde  lo  general  a  lo  particular.  Dcbc  intpintnc  en  evtindare*. 
politico*,  marco  jurfdico,  political  y  norma*  dc  emprcia.  expcriencia  y 
prktica  profesional.  DciarToUando  la  normativa  debe  alcan/ane  el  recto  del 
••jtniflco  talor*'.  Se  puede  dar  el  caso  en  que  una  normativa  y  »u  carktcr 
divciplinario  tea  el  tinico  control  de  un  nesgo.  pero  no  e*  freevente. 

I -A  OR(;AM/.ACl6N  la  incegran  penona*  con  funcionet  eipeclfica*  y  con 
actuacioncs  concrcta*.  procedmucnto*  definido*  metodoldgicamcnte  y 
aprobado*  por  la  direccidn  dc  la  emprcia.  Lite  e*  cl  atpccto  mi*  import  ante. 
H».ln  que  un  M.  nada  e*  poublc.  Se  poeden  ettablecer  controle*  tin  alguno  dc 
lo*  demit  atpccto*.  pero  nunca  tin  pertona*.  y a  que  ton  etut  la*  que  reali/an 
ku  proccduniento*  y  detarrollan  lot  Planet  (Plan  de  Scguridad.  Plan  de 
eonungcnciav  auditorial,  etc.). 

LAS  METODOLOClAS  ton  nccctaria*  para  dctarrollar  cualquicr  proyccto 
que  not  propongamo*  de  manera  ordenada  y  cfica/. 

LOS  OBJETIVOS  OF.  CONTROL  ton  lo*  objetho*  a  cumplir  en  cl  control 
de  proceto*.  Eite  cooccpto  e*  el  ml*  import  ante  detpuf*  de  “LA 
ORGANIZACION”.  y  toUmcntc  dc  un  planteamieMo  coaecto  de  lot  mitmo* 
taldrln  uno*  procedirroentot  cficace*  y  rralista* 
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•  LOS  PR(  K'KDI.M 1 KNT08  DE  CONTROL  see  k»  proccdimicntos 
operalivos  be  las  distmUs  areas  be  U  empresa.  nbtemdcs  con  una  mclodologia 
apropiada.  para  la  contectxibn  be  uno  o  vario*  objetisos  be  control  y.  por 
tamo,  deben  be  estar  docomcniados  y  aprehados  por  la  Dircccibn.  La 
tendencia  habitual  be  k»  intormiticos  et  la  be  Jar  mil  peso  a  la  herranuenu 
que  al  “control  o  comramebiUa  .  pern  no  debermn  ole  i Jar  que  " UNA 
HERRAMIENTA  NUNCA  ES  UNA  SOLUCldN  sINO  UNA  AYUDA 
PARA  CONSEGUIR  UN  CONTROL  MEJOR"  Sin  la  exuencia  be  eaoe 
proccdimicntos,  las  herramientas  be  control  son  solamcotc  una  anSrbota 

•  Dentro  de  la  TECNOMXilA  DE  SEGURIDAD  estat  todos  los  elements 
ya  scan  hardware  o  software,  que  ayudan  a  controlarun  nop)  inforindtico 
Dentro  de  estc  coocepto  estin  los  cifrabores.  aurntific  adores,  cquipos 
“tolerantes  al  falki".  las  hcrramienus  be  control,  etc. 

•  LAS  HERRAMIENTAS  DE  CONTROL  son  cUmentos  software  qoe 
permiten  defmir  uno  o  vanos  proccJimicntos  be  cortrol  para  cumplir  una 
normativa  y  un  objetivo  be  control 

Todos  cmos  fact  ores  estan  relactonados  entre  si.  asi  com o  la  calibad  de  cada  uno 
con  la  be  los  demiv  Cuanbo  se  esalua  el  nisei  be  Srpiridid  de  Shtrmas  en  una 
mststuobn.  sc  estin  esaluanbo  todos  cstos  factorcs  (pi  ram  (del  y  sc  plan  tea  un  Plan  be 
Seguridad  nuevo  que  mcjorc  todos  los  f  aclores.  aunque  confonne  say  amen  reali/anbo 
los  distmt os  proycctoo  del  plan,  no  irin  mejonutdo  todos  por  ig»al  Al  Tmali/ar  el  pbe 
se  hahri  conseguido  una  situacidn  nucs  a  en  la  que  el  nisei  be  control  sea  superior  al 
anterior. 

Llamarcmos  PLAN  DE  SEGURIDAD  a  una  esuatcgia  plimfkuda  de  acciones  y 
productive  que  llesen  a  un  si  sterna  be  informacidn  y  sus  ccrsros  be  proceso  be  una 
situacidn  inicial  determinada  (y  a  mejorar)  a  una  utuacibn  mejrrada 

En  la  figura  3.2  sc  espone  la  tendencia  actual  cn  la  organ./acido  be  la  seguribad 
be  ststemas  cn  la  empresa  Por  una  parte  un  comil<  que  estaria  formado  por  el  director 
de  la  cstrategla  y  dc  las  poKusav  Y  put  wUa  pautc  isjuUuI  iaterno  y  auditoria 
informlticot.  la  funcibn  de  control  mtemo  se  ve  involucrada  rn  la  realt/acidn  de  los 
proccdirmentos  be  control  y  es  una  labor  de  dia  a  dia  La  funci6n  be  auditoria 
informitKa  cMi  centraba  cn  la  cvaluacidn  de  los  distmtos  a- peel  os  que  designe  mi 
PLAN  AUDITOR,  con  unis  caracteristicas  dc  triha  jo  que  son  las  visitas  concrclas  al 
centre,  con  objetisos  coocrctos  y.  tras  terminar  su  trahayo.  la  presentacidn  del  informc 
be  resullados  Por  unto,  las  caracteristicas  be  su  funobn  mo  lotalmcntc  distintas 
Lbgicamcnlc  tambien  sus  mftodos  be  trabiyo. 
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Ft  gun  3.2.  Organi&ctAn  mitma  de  la  tegundad  mformdnca 

Qucda.  p«e*.  por  dectr  quo  amhas  functones  Jo  hen  scr  indcpendientcc  do  la 
tnformidca.  dado  quo  por  la  discipline  laboral  la  labor  dc  las  dot  functones  quedaria 
mrduii/ada  y  compromctida  F.uo  o  lo  quo  so  llama  "segrrgaetdo  dc  functones" 
eotre  Ettas  y  la  informiiica. 


3.2.  METOOOLOGiAS  DE  EVALUAClON  DE  SISTEMAS 


3.2.1.  Conceptos  fundamentales 

Ea  cl  mundo  dc  la  segurtdad  dc  stsicmas  ve  utilized  lodes  las  metodologfat 
MCCMfias  para  realize:  un  plan  dc  tegundad  ademis  dc  las  de  auditoria  informiltca. 

Las  dos  melodologiat  dc  esaluaodo  dc  sistemas  por  antoncmasia  son  las  dc 
ANAlJSIS  DE  RIESGOS  v  las  dc  ALDITORfA  INIOR.MATICA.  con  dos  enfoque* 
distintos  La  audtlorfa  informiuca  sdlo  tdenufka  cl  nivel  dc  "exposiesdn"  por  la  falu 
dc  commies,  mientras  cl  anilisis  dc  rsesgos  faciliu  la  “evaluactdn"  de  las  riesgo*  y 
recomienda  acetones  cn  base  al  eosto  benefit  to  dc  las  irasmas. 

Introduzcamos  una  sene  de  defimooncs  para  profunduar  cn  estas  metodotogfai 

•  AMFNAZA:  unatst  personals)  o  cosa(%)  vistad)  cornu  postble  fuente  dc 
pcligro  o  calistrofc.  Eycmplos:  inundacidn.  inccndio.  robe  dc  dalos.  sabotage, 
agujero*  pobltcado*.  falu  dc  ptoccdimicnios  de  emergencia.  divulgackta  dc 
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dal  os.  i  ir.pl  icao  ones  coo  la  Icy.  aplkackmcs  mal  discfladas.  gaum 
mcontroUdas.  etc. 

•  VULNERABILIDAD:  La  utuacko  creada,  por  la  falca  dc  uim  o  vanot 
controlcx.  con  la  que  la  amcnaza  pudicra  acacccr  y  asi  afcctar  al  colons: 
informitico.  fijemplos:  falta  de  control  dc  acceso  kigico.  falta  de  control  dc 
vcrsioncs.  incxistcncia  de  un  control  dc  soponcs  magikiicos.  falta  de 
scparacidn  dc  entomo*  cn  cl  sistema.  falta  dc  cifrado  cn  lai 
telccoinunicacioncs.  etc. 

•  RIESGO:  La  prohabiltdad  dc  qoe  una  amcnaza  llcguc  a  acacccr  por  naa 
vulncrabihdad  Hjcmplo:  k»  dates  euadfstkos  dc  cada  cvcnto  dc  una  base  dc 
datos  dc  iocidciMcs. 

•  LXPOSICI6N  O  IMPACTO:  La  evaluactdn  del  efccto  del  riesgo.  Hjcnykt 
es  frecucntc  evaluar  cl  impacto  cn  krminos  ccondmkos.  aunque  no  siemprt  b 
cs.  como  vidas  humanas.  imagen  de  la  empresa.  honor,  defensa  nacional,  etc. 

Las  amcnazas  reales  sc  presentan  de  forma  compleja  y  son  difkilcs  de  predreir 
EjcmpJo:  por  vahas  causas  sc  com  pen  las  dos  entradas  de  agua.  mundan  las  linen 
tclefdoicat  (poes  exirte  un  poro  en  el  cable),  hay  un  cortocircuito  y  sc  quema  d 
iraiuformador  de  la  central  local.  Bn  cum  caw  la  protabthdad  resuliantc  cs  muj 
dificil  dc  calcular. 

I J'  metodologfas  de  anilisis  dc  riesgos  sc  utili/an  desde  los  aftos  sclcnla.  en  la 
induttria  del  seguro  basindosc  en  grandes  voldmcnes  de  daios  esudistscos  agrupados 
en  ublas  ad  tunas  Sc  emplearon  cn  la  informilica  en  Ion  ochcnta.  y  adolccen  dd 
probtema  de  que  los  registros  estadistkos  de  modentes  son  escasos  y.  por  tamo,  d 
rigor  csentifico  de  los  cikulos  probabilistic™  cs  pobre.  Aunque  exislen  bases  de 
modentes  en  van  os  paises.  euos  datos  no  son  muy  (tables  por  varios  motives:  U 
tcndencia  a  la  ocultacuSn  de  los  afcctados.  la  kvali/aoOo  gcogrlfka.  las  disbnlat 
menulsdades.  la  informltica  cambiante.  cl  hecho  dc  que  los  riesgos  sc  presentan  en  in 
periodo  de  tiempo  solamentc  (sen tana  de  critkidad).  etc. 

Todos  los  riesgos  que  sc  presentan  podemos: 

-  EVITARLOS  (por  cjemplo:  no  comtmir  un  centro  doode  hay  peligro 
constantc  de  inundactoncs). 

-  TRANSFFJURLOS  (por  ejemplo:  uso  dc  un  centro  de  cilculo  contra tado I 

-  REDUCIRLOS  (por  cjcmplo:  si  sterna  de  dctccckn  y  exiinctdo  de  mcendios). 

-  ASUMIRLOS.  Que  es  lo  que  sc  hace  si  no  sc  cootrola  cl  riesgo  cn  absoluto. 
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Para  lot  im  pnmcro*.  it  actda  \i  it  cvtableccn  condole*  o  contranxdida*  Toda* 
la*  metodologfa*  exivtente*  cn  tcguridad  de  titiemas  van  rncaminadx-  a  evtablccer  y 
mcyorar  un  entramado  de  contramcdida*  que  garanticcn  que  la  prohabtfcdad  de  que  la* 
imcna/at  te  malcnalxrcn  en  hecho*  (pot  (alia  de  control)  tea  lo  mit  baja  potibie  o  al 
moot  qucde  reducida  de  una  forma  raronablc  en  cooo-beneficio. 

3.2.2.  Tipos  de  metodologias 

Toda*  la*  mctodologlax  exivtente*  detanolladat  y  utili/ada*  en  la  auditor!*  y  el 
control  informifico*.  te  pucden  agrupar  en  dot  grande*  fanuliat.  K*tas  ion: 

•  Cuantitativat:  Batada*  en  un  modelo  matcmiticn  numdnco  que  ayuda  a  la 
rcalieacidn  del  trahajo. 

•  Cualitadva*  Batada*  en  el  cnteno  y  racioctmo  humano  capo/  de  dcfintr  un 
proceto  de  trahajo.  para  teleccionar  en  hate  a  la  cxperiencta  acumulada 


J.2J.I.  Metodologia*  cuantitatita* 

Diveflada*  para  producir  una  litu  de  ne*go*  que  pocden  coraparanc  entre  *1  con 
facilidad  pot  tenet  augnado*  uno*  valore*  numdnco*.  hsto*  vaiore*  en  el  ca*o  de 
mrtodologia*  dc  anilixis  de  ne*go*  o  dc  planes  de  cooimgcncia'  ton  data*  de 
prohabilidad  dc  ucurrencia  (net go)  de  un  evento  que  *c  debe  extraer  de  un  regiuro  de 
incideocias  donde  el  ndmero  de  inodcncta*  tienda  al  infinite  o  tea  tuficientcmenie 
V**  Etio  no  pava  cn  la  prietka.  y  *c  aproxima  etc  valor  de  otma  tubjetiva 
rotando  a*f  rigor  cientlfico  al  clkulo.  Peru  dado  que  el  cikulo  *e  hare  para  ayudar  a 
clegir  cl  nktodo  entre  %  aria*  contramcdida*  podrfamo*  aceptarlo. 

I  lay  varvo*  coeficientc*  que  oonviene  dcfinir 

-  A.L.E  (Annualized  txni  Etpentacy):  multiplicar  la  pdrdida  nixima  potiblc 
de  cada  bicn/rccurto  pur  la  amena/a  con  prohabilidad  mi*  alia 

Rcduccidn  del  A  LE  (Annualized  Lou  Expectancy)  h  el  coocnte  entre  el 
COM  anualtzado  de  la  intulavidii  j  cl  uunUiuniKnlo  dc  ta  ncdida  contra  *1 
valor  total  del  btcnArecurto  que  *e  e* ti  protegiendo.  en  tanto  per  ctento. 

-  Rctorno  de  la  inverodn  (R.O.I.):  A.L.E.  original  meno*  A.I..E.  reducido 
(como  retultado  de  la  medidat.  dividido  pot  el  covte  anuali/ado  de  la  medida 

Todo*  e*to*  cocfkicMct  y  otro*  dneAado*  por  los  autore*  de  Ut  metodologia* 
too  utado*  para  el  juego  de  timulacidn  que  permite  clegir  entre  vanat  contramcdida* 
cn  el  anihvis  de  rietgo*. 
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Pot  unto,  vemov  con  claridad  dm  grande*  inconvenience  quo  prevenian  cvUi 
metodologiav:  por  una  pane  U  dcbilidad  de  k>v  darov  de  la  prababthdad  de  ocurrcnca 
por  kn  pocov  regivtrov  y  la  poca  vigniftcacidn  de  lov  mivinov  a  mvcl  mundial.  y  par 
orr.i  U  impavibilidad  o  dificullad  de  evaluar  ccondmicamentc  todos  lov  impuctov  que 
poeden  acaccer  frente  a  la  venlaja  de  poder  uvar  un  modelo  matcminco  para  d 
anilisis. 


3.2. 2. 2.  Mclodologiav  cualitativ avAuhjclivav 

Bavadav  en  mltodov  cvtadivticov  y  Idgica  bon  ova  (humara.  no  malcmilKa 
logic).  Precitan  de  la  mwincrac rdn  de  un  profeuonal  expenmentado.  Peru  requiem 
menov  recurw.iv  humanovAiempo  que  lav  metodologiav  cuaniiurivav. 


La  tendcncia  de  u«o  en  la  realidad  c*  la  ineecla  de  ambtv.  Bn  la  figura  3.3  k 
otnerva  un  cuadro  comparative. 


3.2.3.  Metodologias  mis  comunes 

Lav  mctodologiav  miv  comunev  de  evaluacxta  de  utiemav  que  podemoi 
encontrar  von  de  aniliviv  dc  nevgov  o  de  diagncSvlvcov  de  vegundad.  lav  de  plan  dr 
contingenciax.  y  lav  de  ouditorfa  de  controlec  gencralcx. 
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UJ.I.  Metodologlas  dr  analisis  dr  rio»« 

E«4n  dcsarrotladas  para  la  idcntificacidn  dr  la  falu  dc  controls  y  d 
cstaMccimicnto  dc  un  plan  dc  contramrdidas.  Rxistcn  dm  (ipm:  LAS 
CUAVTTTATIVAS  y  LAS  CU  ALIT ATI  V AS.  dc  las  que  exislen  gran  canlidad  dr 
actus  (Uses  y  mMo  citarcmos  algurus  dc  cllas. 


hi  esquema  hisico  dc  una  metodologia  dc  anilisis  dc  riesgos  es.  cn  escncia.  cl 
rrpresenudo  cn  la  figura  3.4. 


Funconamwmo  ••quemitico  Muco  Oe  cualqu^r  paquete 

Cmaeonano  *  Htacn  < 

kMnMcar  M  rwagm  - ►  Eupa  2 

ICloidwdwptda  -  E«apa3 

|<Wd»CfcMl|  - *■  EtapaS 

OanciOn  to  UNonw - •>  Elapa  6 


hgura  3.4.  Eufurma  banco  dr  una  mrlodologia  dr  andhui  dr  /ingot 

Kn  base  a  unm  cucstionarim  sc  idcniiOcan  sulncrabilidadrs  y  riesgos  y  sc  cvaliia 
d  impacio  para  mis  l aide  idennlWar  las  contramcdidas  y  cl  eostc.  l-a  siguicntc  ciapa 
es  la  mis  importance.  purs  mcdianlc  un  juego  dc  simulacidn  (que  llamarcmos  '  .QOf. 
PASA  SI  T")  analiramm  cl  cfccto  dc  las  dtslintas  contramcdidas  cn  la  disminucidn 
dc  los  riesgos  analirados.  eligiendo  dc  csta  inancra  un  plan  dc  contramcdidas  (plan  dc 
tcgimdad)  que  compondri  cl  infoemc  final  dc  la  evaluacidn. 

I)e  forma  gendrka  las  metodologlas  existences  sc  difcrcncian  cn: 

•  Si  son  cuantitativas  o  cualitadvav  o  sea  si  para  el  "(,Qo<  pasa  sL..7"  utiliran 
un  modelo  maicmitico  o  algiln  sistema  ccrcano  a  la  ckccidn  vubjetiva. 
Aunqur.  bier  pensado.  al  a  proximal  las  prohabilidadcs  poc  esperanras 
male  mil  teas  subjctivamentc.  las  meiodologlas  cuantitativas.  aunque  utilkcn 
aparatm  inateiniticos  cn  sus  simulaciones.  ticncn  un  gran  componente 
subject  vo. 

•  Y  adonis  sc  difcrcncian  cn  el  propio  sistema  dc  simulacidn. 

En  cl  INPOSI:C"92  proyccto  S20I4  sc  idcnlificaron  66  mctodologias  dc  las 
males,  poc  hmitacionex  dc  tiempo.  sc  analiraron  s6lo  12  con  sus  respesrlisos  paquetes. 
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y  aU  cl  informe  tic  eUc  iratajo  acabd  viendo  un  contraxtc  tie  Us  prcstaciones  de  dicta 
poquctcs  tcgun  Ion  fabhcantct  y  U  optm6n  de  lot  coovultorcx  del  equtpo  lirtoi 
mrtoden  aiultzadm  eran:  ANAU/Y.  BDSS.  BIS  RISK  ASSESOR.  BUDDY 
SYSTEM.  COBRA.  CRAMM.  DD1S  MARION  AP*.  MF.LISA.  RISAN.  RISKPAC. 
RISKWATCM. 

Dc'pof  \  de  e»U\  mciodologUx  han  nacido  muchat  otrat  como.  pot  cjemplo.  U 
MACERIT.  devanollada  pot  U  jdrairuvtraode  cspaflola.  Citarcmm  alguruv  a  medo 
de  ejcmplo: 


Figura  J.5.  Dwgrama  dr  wlntrabiliJuJ 
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J>Y  AlVCTOftU 
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MARION 

Mltodo  document**'  en  do*  libro*  de  lot  CBJlft  el  mis  actual  cs  U i  Srcunt/  dti 
rrseaux  Methodes  rt  Techniques  de  I.M  Lamere  y  Leroux.  J.  Tourly.  Tienc  *H 
product  os  MARION  AP*.  para  siticma*  irtdit  iduales.  y  MARION  RSX  para  ustenus 
distribution  y  conectisidad 

Et  un  mei.xiv  cuanuutivo  y  se  basa  en  la  encuesta  anual  de  miembros  del 
C.L.U.S.I.F  (base  de  mode  rues  francesai.  No  contempla  probabtlidadet.  xieo 
esperan/a*  rrulcmilicas  que  ton  aproximac  tones  numtnca*  ( valorrs  tubjctivos) 

La  MARION  AP»  utilira  coestionano*  y  parlmetros  correlacionados  cnfocados  a 
la  reprcseniacido  grifica  de  las  ditfinus  solucioocs  de  contramcdid**  (figura  3.5).  ee 
cada  uno  de  los  (actoces  <27  factores  en  sets  caiegonas)  Las  caScgoetas  son:  scgundad 
informioca  general,  factores  sockwcondmicos,  conctenciacsdn  sober  la  tcgundad  * 
software  y  matenalcs.  scgundad  en  exploeaodn  y  segundad  dc  desarrollo. 


Figura  ).  7.  Valorrs  dr  ponderacidn  para  dtferentes  seetores 
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En  la  figura  3.6  *c  poede  \er  un  cueyionano  al  quc  hay  quc  rcoonder  sf  con  un 
4.  no  con  un  cero.  y  3  m>  aphcabU.  para  luego  aplicarlci  uikm.  valoret  de  ponderacidn 
tegun  lot  sectocci  de  la  figura  3.7  de  negocio  de  la  emprcsa  dondc  ve  csxt  paiando  la 
metodok>g(a.  EJ  cuestionano  de  la  figura  3.6  conctpooderia  al  factor  101 . 

El  anilitis  de  nngos  k>  hace  tobre  dkz  ireai  pnMemtiCH  coo  otro* 
coeitionarioi.  Eitai  ireat  ion  riesgo*  materiale*.  tabotajet  ftxicm.  averfaa. 
cocnunicaooncK.  cirores  de  deuRollo.  errores  de  ciplotaciOn.  (raode.  robo  de 
mformacidn.  robo  de  xoftware.  problcmai  de  personal  Sine  para  ciaiuar  el  impacto 
i  figura  3.8). 


Figura  J.8.  Definition  t  uithlalno  de  pjrdtdat 
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Las  perdxlas  posibks  no  dcbm  sobrcpasar  nunca  c  valor  del  "RIESGO 
MAXIMO  ADMISIBLE".  valor  extraido  dc  lot  salorcs  dados  pc*  un  c  studio  dd 
Banco  dc  Francia  doodc  liguran  SO  ratios  para  dittinui  ireas  scctonales  Ji 
menciooadas  cn  la  figure  3.7.  FJ  diagrams  dc  la  figure  3.5  ic  llama  dc  radar,  y  U 
mclodologfa  M ELISA  uu  uno  similar,  Ksta  mctodologfa  cs  dc  lav  mis  antiguax  j 
difkiks  dc  entender  y  mane  jar. 


R1SCKPAC 

Todas  las  mecodologias  que  >c  dcsarrollan  cn  la  actual tdad  cstin  pensadas  para  w 
aplicaodn  cn  herramtentas.  La  primer  a  de  csta  familia  la  desarrolld  PROFILE 
ANALYSIS  CORPORATION,  y  la  primers  insulae  i6n  cn  dicnic  dare  dc  1984. 
Scgiin  DATAPRO  cs  cl  software  mis  sendido. 

Su  cnfoque  cs  metodologfa  cualilanva/subjctiva  Sus  rcsulados  son  exportables  a 
proccsadoces  de  texto.  biases  de  daios.  hop  eketrtimea  o  sistemas  griftcos.  Fati 
csiructureda  cn  lo*  ues  nisvlcx  EnlomofPlroccsador/Aplicacioncs  con  26  ealegorias  de 
nesgo  cn  cada  nisei  Time  un  ~tq«k  pasa  si  . .7”  con  un  nivd  4e  nesgo  dc  cvaluacifa 
suhjctisa  del  I  al  5  y  ofrccc  una  lista  dc  contramcdidas  o  rcoomcndacioocs  ttisicas 
pare  ayuda  al  informc  final  o  plan  dc  acetones. 


CRA.MM 

Sc  dcwTolUS  mire  1985  >  1987  per  BIS  y  CCTA  (CENTRAL  COMPUTER  A 
TELECOMUNICATION  AGENCY  RISK  AKAUSIS  A  MANAGEMENT 
METHOD.  I  ng  I  arena)  Implanudo  cn  mis  de  750  organiracuncs  cn  liuropa.  sober 
todo  dc  la  administraerdn  ptiblica  Es  una  mctodologla  cualilaliva  y  pennile  tracer 
anilisis  ~iQo(  pasa  sL.T*. 


prim  a  (PREVenciGn  de  riescos  informAticos  con 
metodologIa  adii:rta) 

Es  un  compendto  dc  mecodologias  cspoAolas  dcsanolladat  cnire  lo»  aAos  1990  y 
la  aclualidad  con  un  enfoque  subjelivo.  Sus  caracteristicas  csen.-ialcs  son: 

-  Cubrir  las  ncccsidades  de  los  profesionaks  que  dcsarrollan  cada  uno  dc  los 
prosect  os  neccvanos  de  un  plan  dc  segundad. 

•  Facilmcntc  adaptable  a  cualquier  npo  dc  herremimu. 

-  Posec  cuesaiooanos  dc  pregunus  pare  la  rdmuftcacidn  dc  dcbtltdadcs  o  falUs 
dc  controlcs 
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-  Pi*scc  littas  de  ayuda  para  lot  utuariot  menus  e  spenmenudos  de  dcbilidadct. 
net  got  y  contramedidat  (sistema  de  ayuda) 

-  Pernute  ficitmcnic  la  gencracidn  de  informes  finales 

-  Las  "Listas  de  ayuda"  (ligura  3.10)  y  Ion  cursnonarios  ton  abaenos.  y  por 
lanto  ct  potable  inttoducir  mformacido  nueva  o  cambiar  la  exixtente.  De  ah(  la 
expretidn  Abietta  dc  su  nombre. 

-  Ticnc  un  pasa  cualitativo.  y  capaodad  de  aprenduaje  al  poster 
una  base  dc  conocimiemo  o  regions  de  incident  ex  que  van  variando  las 
esperan/as  matemincat  de  pvtida  y  adaptindote  a  lot  enlomot  de  trabojo. 

Kn  las  figuras  3.9  y  3.10  sc  expone  la  metodoiogia  de  anilitit  de  rtesgos  PRIMA 


hgura  3.9.  Fasti  de  la  metodoiogia  PRIMA 

Con  la  mitma  filotofia  abterta  exitten  del  mitmo  autor.  cn  la  actual idad.  lax 
uguiente*  mctndologias: 

-  Anilitit  de  riesgos. 

-  Plan  de  contingcnciat  informitica  y  de  recuperacidn  del  negocio. 

-  Plan  dc  rettauracidn  mtemo  informitico. 

-  Clatificacidn  de  la  informacidn 

-  Dcfmicidn  y  desarrollo  de  proccdiinicntot  de  control  mfomvilicos. 

-  Plan  de  cifrado. 

-  Auditorla  infonnilica 

-  Defmicidn  y  desarrollo  de  control  dc  acceto  Idgico  Entomos  ditinbuidot  y 
tingle  sig-on. 
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t'ifura  .1.10.  Usut  dt  axuda  dt  la  mrtodologla  PRIM  A 


J.2J2  Plan  dc  contingencias 

El  auditor  dcbo  conoccr  pcrfecumcntc  lot  conccptos  dc  un  plan  do  cootingcncias 
para  podcr  auditarlo.  Hay  varus  formas  dc  llamatlo.  pcro  cons  tone  no  confundit  Vos 
conccptos  quo  so  mancjan  alrcdodor  do  k»  nombrcs.  El  plan  do  contingencias  y  de 
rccupcracidn  del  ncgocio  os  lo  imsmo.  pcro  no  as[  ol  plan  do  rtslauracidn  iniorno.  Kite 
va  onfocado  hacia  la  rcMauracidn  del  C.P.D.,  pcro  sobre  esontos  quo  succdcn  dcntni 
del  entomo  (cafdax  del  siuema.  roturas  loves,  dc  ).  y  cuya  duracidn  no  afccta 
grasemcr.tc  a  la  coMinuldad  del  ncgocto. 

TambiOn  sc  inancjan  a  voces  los  conccptos  do  plan  do  contingency  informitica  y 
plan,  do  cootingencias  corporaiiso.  cuyos  concept  os  son  sdlo  de  alcancc.  El 
corporatise  cubrc  no  sdlo  la  inlormidca.  sino  lodos  los  departamentos  do  una  cntidad. 
y  poede  incluir  umhicn  el  informative  como  un  dcpaitamento  mis.  liccucmcincme 
sc  real  i /a  ol  informitico. 

DF.FINICldN.  El  Plan  de  Cootingcncws  c*  una  csuaicgia  planifkada  constituida 
poc  un  conjunio  de  rccurvos  do  respaVdo,  una  organieacidn  do  cmcrgcncia  y  unot 
procodimionios  do  actuacidn  oncaminada  a  conscguir  una  rcsuuracidn  progrosiva  y 
igil  do  los  versions  do  nogocio  afectados  per  una  para] uac  160  toUl  o  porcial  dc  la 
capacidad  operativa  do  la  ompresa. 

Eva  cstralogia.  matcriali/ada  on  un  manual,  cs  cl  rcsuliado  do  (odo  un  pruccso  do 
anllists  y  dcfimcionos  quo  os  lo  quo  da  lugar  a  las  mctodologfas.  Esto  ct,  las  metodo- 
k>g(as  quo  cxisten  versan  sobre  ol  procoso  nccosarto  para  otxcner  dicho  plan. 
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Es  moy  import  ante  tenet  cn  cuctiU  que  el  concepto  a  constdcrar  c*  “la  cununui- 
dad.  el  negocio":  cstodiar  todo  lo  quo  puede  parali/ar  la  actividad  >  ptodueir  ptrdidas 
Todo  lo  que  no  considcrc  cite  chterio  no  scri  nutxa  tin  plan  de  contingcncias 

FASES  DE  UN  PI  AN.  Lai  Cut*  de  un  plan  ion  la*  sig  uientes: 

PASE  I.  ANALISIS  Y  DISKNO.  Sc  estodia  U  problematic.!.  las  nctcsidadcs  dc 
resurioi.  las  altemativas  dc  rcspaldo.  y  ve  anali/a  el  cosic/bcncfkio  dc  las  mnm». 
lUu  ci  la  fasc  mil  unportanie.  pudiendo  llcgarsc  al  final  dc  la  misma  induso  a  la 
coodnudn  dc  que  no  c%  viaMc  o  cs  muy  costoso  su  scguimicnto  I  in  la  forma  dc 
drurTollar  esta  lave,  sc  difcrcncian  las  dm  familial  mctodoldgicas  Estas  ion  las  dc 
-RISK  ANALISIS"  y  las  dc  “BUSINESS  IMPACT" 

Lai  de  Risk  Anulisis  sc  basan  cn  cl  eitudio  dc  los  pasibJcs  rictgoi  desdc  cl  punto 
dc  sitta  dc  probahilidad  de  que  los  mismo*  sucedan.  Aunquc  los  rcgiUros  dc 
incidenlci.  al  igual  que  ocurrfa  cn  las  mctodologfas  dc  onilisis  dc  riesgos.  ion  escasos 
y  poco  fiabtes.  aun  asf  cs  mas  ficil  cncontrar  cite  tipo  dc  mctodologfas  que  las 
Kgundav 

Las  dc  Buslines  Impact,  sc  basan  cn  cl  cstudio  del  impacto  (pdrdida  econdmica  o 
de  imagen)  que  ocasiona  la  falta  dc  algtln  rccurso  dc  los  que  soporta  la  actividad  dc! 
ncgocio.  listas  tnelodologfas  son  mis  escasai.  pero  ticncn  grande*  ventajas  como  cs  cl 
nejor  entendimtento  del  proccso  o  cl  me  nor  cmplco  dc  ttempo  dc  trahajo  por  it  mis 
dircctai  al  problem*. 

las  ureas  dc  esta  fasc  cn  las  mctodologfas  dc  Risk  Analysis  son  las  liguientcs: 

1.  Idcntiticaci6n  de  amenn/as. 

2.  Analisis  de  la  probabilidad  dc  ma'.cnali/acx^n  dc  la  amcnasa. 

3.  Select  uta  dc  amcna/as. 

4.  Identification  de  entornos  amenazados. 

5.  Identificaodn  dc  acniciot  afcctadov. 

6.  Estimation  del  impacto  ctonAmico  pot  parali/atidn  dc  cada  servkio. 

7.  Rcfcccu'm  de  los  servieios  a  vubnr. 

8.  Sctcccidn  final  del  imbilo  del  Plan 

9.  Identification  dc  altcnutisai  para  los  entornos. 

10.  Selection  dc  altemativas. 

1 1 .  Disc  Ao  dc  citratcgias  dc  rcspaldo 

12.  Selection  dc  las  citratcgias  dc  rcspaldo. 
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Las  (areas  par  a  las  dc  Business  Impact  son  las  siguientes: 

1 .  IdcntilicaciAn  dc  setvicios  finales. 

2.  Anllisis  del  impacio.  En  esus  mctodoIogUs  sc  cvaldat  los  daAos  cconomicos 
y  dc  imagen  y  otros  aspcctos  no  ccondmicaft.  lo  que  Its  da  una  vcniaja  cn  lot 
castss  cn  los  que  micrvicncn  oiros  valores  que  no  scan  los  ccondmicos 

3.  Sckccidn  dc  scrsicios  crfticos. 

4.  Determinacidn  dc  reevrsos  dc  soportc. 

5:  Wcnlificaodn  dc  altcmativas  para  entomos. 

6.  Sckccidn  dc  altcmativas. 

7.  DiscAo  dc  cstraiegias  globules  dc  rcspaldo 

8.  Sckccidn  dc  la  e.slralcgia  global  dc  retpakk). 

Como  puede  serve,  cl  enfoque  dc  csta  segunda  es  mis  prdctico  y  sc  va  mis 
dirccto  a  las  ncccsidadcs  reales  dc  la  entidad  sin  lener  que  justificar  con  dMos  de 
probabilidadcs  que  aponan  poco  por  la  pobrtza  dc  los  dalos.  1-Mas  sc  basan  cn  hcvhos 
cicrtos.  que  sc  anali/an  >  sc  juslitican  ccondinicamentc.  Pc rmiicn.  por  (ante,  ha.tr 
csiudros  costo/bcneficio  que  juMifican  las  invcrsioncs  con  mi>  rigor  que  los  c studios 
de  prohahilidad  que  sc  ohtienen  con  los  anilisi*  dc  riesgos. 

Hay  un  factor  importantc  a  delcrminar  cn  csta  fasc  que  es  el  Time  Frame  o 
tiempo  que  la  empress  puede  asunur  con  parali/acidn  de  la  astividad  opcralivo  uues 
dc  incurrir  cn  pdrdidas  significaiivas.  Estc  factor  marciri  las  cstraiegias  dc 
rccuperacidn  y  sc  catraeri  del  anilisi*  del  irnpacto. 

FASE  II:  DESARRfX.LO  DEL  PLAN.  Esta  fasc  y  la  t.-rcera  son  similares  « 
todas  las  metodokigus.  En  clla  sc  dcsarTolla  la  estratcgia  scleccionada.  implaMdndMc 
hasU  cl  final  todas  las  accioncs  previstas  Sc  definen  las  diu  ntas  organizacioncs  de 
cmcrgcncia  y  sc  dcsarrollan  lot  procedimicntos  de  aciuatidn  gencrando  at!  li 
documcntacidn  del  plan. 

F.s  cn  csta  fasc  cuando  sc  anali/a  la  vuclta  a  la  nonnalidad.  dado  que  pasar  de  U 
situacidn  normal  a  la  ahematiw  debe  concluinc  con  la  reconslruccidn  dc  la  situacifa 
inicial  antes  dc  la  contingency  y  cuo  es  lo  que  no  todas  las  nvctodologfas  mcluycn 

FASE  III.  PRUF.BAS  Y  MANTEN1MIENTO.  En  csta  fasc  se  definen  In 
prurKts.  su»  caracrerfsricas  y  un  cicJos.  y  sc  reali/a  la  primer a  pnteba  come 
comprohacidn  dc  todo  cl  traba;o  rcali/ado.  as!  como  mcntali/aral  personal  implicado 

Asimismo  sc  define  la  estratcgia  dc  mantenimiento.  la  ocganizacidn  destinadi  i 
cllo  y  la  normativa  y  procedimicntos  ncccsarios  para  llcvarlo  a  cabo. 

HF.RRASHENT AS.  En  csic  caso.  como  cn  todas  las  mctodologlas  la  hcrramiccu 
es  una  andedota.  y  lo  importantc  es  lener  y  usar  la  mckxblogfa  apropiada  pin 
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deunollar  mb  urdc  la  hetTamicnia  que  %e  necetiic.  El  csquenu  de  uiu  hcmmicnu 
JcV  icncr  al  mcnm  lot  tiguienlet  punlot 

-  b*»c  de  dalot  relational 

-  modulo  de  cntraJj  dc  dalot 

-  mddulo  dc  contullat 

-  proccui  dc  Klim 
gcncrador  dc  informct 
ayudas  online 

-  hoja  de  cilculo 

-  gettor  dc  proyeetot 

-  gcncrador  de  grilkot 

Eaittcn  en  el  men:  ado  productot  que  cubrcn  e*iat  metodolojuv  en  me  nor 
can&dad  que  lot  de  anil i tit  dc  netgot  y  cnlocadot  tobre  lodo  a  anilm.  de  netgot  con 
dtfos  dc  poca  ngnifkacidn  cientilka  Hoy  eti  dia  la  tnayoria  Je  lot  cquipot 
pnfetKMulet  devanollan  tu  toll  ware  al  comictuo  de  lot  trabajot  (rat  defimr  la 
nttodologla 

Et  importamc  para  terminal  ette  puMo  dcor  que  una  prictica  halitual  et  realirat 
la  fate  I  y  contraiar  tin  scrvicio  de  back-up  tin  dctarrollar  lat  fate*  II  y  III.  Eslo  no 
k4o  conMiluye  un  error  conccprual.  tino  que  en  rcalidad  sOlo  se  tiene  un  ettudio  y  un 
conlrxo  de  vcrviciot  pero  no  un  PI -AN  DE  CONTI  NGENCIAS . 


13.  LAS  METODOLOGIAS  OE  AUDITORlA  INFORMATICA 

Lat  unacat  met  odo  log  lat  que  podem.it  cncoeitiar  cn  la  auditorta  informioca  ton 
djt  familial  dittinUv  lat  auditorial  de  CONTROLES  GENERALES  como  producto 
rtlindar  de  la  audilorrt  profcnonalet.  aue  ton  una  homoiogaetdn  de  lat  mitmat  a 
and  international.  y  lat  METODOLOGIAS  de  lot  audiiorct  internot. 

El  objetivo  dc  lat  audilortat  de  controlet  geneulet  et  "dar  una  apinidri  tobre  la 

fiatiiUlad  de  kn  datwt  del  tornputador  para  la  audiloKa  finaneicea*.  El  ir-uluJo 

exlono  et  un  etcuelo  informe  como  parte  del  infocmc  de  auditorta.  dende  te  dcttacan 
lat  vulnerabtlidadct  encontradat.  Etiin  batadat  cn  pcqucAot  cuctfioainot  ettindaret 
que  dan  como  rctuliado  informet  muy  gcocralntav 

Tiene n  apart adot  para  defimr  "pruebas"  y  anotar  tut  retullatkv  Etta  et  una 
caractertMica  clara  de  la  diferencia  con  lat  metodologlai  dc  evaluation  de  la 
contulurta  como  lat  de  anAlitit  dc  netgot  qtte  no  ticnen  etlot  aptrladoy  aunque 
timbifn  iratan  de  idcntificar  vulnerabilidadct  o  falia  dc  controlci  l-tio  et.  la 
reahzandn  de  pruebat  et  contuttancial  a  la  auditorta.  dado  que  tarto  el  trabajo  de 
comultarta  como  el  anilivit  de  netgot  etpera  tiempre  la  colaboractdndel  anal  1 /ado.  y 
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por  cl  contrano  la  auditoria  dcbc  dcmosirar  con  prucbat  todas  \u\  afirmacioncs.  y  pa 
cllo  siempre  dcbc  contcncr  cl  aparudo  dc  las  pcuchav  Llegando  al  extreme  dc  qut 
hay  auditorial  quc  sc  bavin  solo  cn  prucbox  anno  la  “auditoria  dc  inlcgndad". 

Elds  metodologias  cstin  muy  dcsprestigiadas.  pcro  no  porquc  scan  malas  ea  u 
miwTuv.  sino  porquc  dcpcnden  rourtto  dc  la  cxpcncncia  dc  hn  profesaonalci  quc  la 
uun  y  cxistc  una  practtca  dc  utilizarias  profcsionalcx  sin  ninguu  cxpcncncia 

Nmguna  dc  cstas  mctodologias  uva  ayudas  dc  contrumcdidas.  llcglndosc  a  U 
aherraodo  dc  quc  sc  utili/an  mctodologias  dc  anilisis  dc  riesgos  para  haccr  auditorial 

Todas  estas  anomalias  naccn  dc  la  dificulud  quc  Iknc  un  profestonal  sa 
cxpcncncia  quc  asumc  la  funoOr  aoditora  y  busca  una  idrmola  flat  quc  le  permit! 
cmpc/ar  su  trabajo  ripidamcntc.  Esto  ex  una  utopia  El  auditor  information  ncccuti 
una  larga  cxpcncncia  lutclada  y  una  gran  fonnacidn  lanto  audtora  como  mfoemitxa. 
Y  csia  formactdn  dcbc  scr  adquirida  mcdiantc  cl  cstudio  y  la  prktica  tutclada. 

I.Icgamos  al  punto  cn  cl  quc  et  ncccsario  dear  quc  la  nctodologia  dc  audita 
iMcmo  dcbe  net  discAada  y  dcsurrollada  por  cl  propio  a  alitor,  y  data  serf  U 
significacidn  dc  su  grade  dc  cxpcncncia  y  habilidad. 

Por  tanto.  entre  las  dos  mctodologias  dc  cvaluactOn  dr  sistemaa  (anilisis  dr 
riesgos  y  auditorial  cxistcn  similitudes  y  grander  diferencus.  Ambas  ticncn  paprlct 
dc  trabajo  obtenidos  del  trabajo  dc  campo  Iras  cl  plan  d<  cntrcvisias.  pcro  lot 
cucstionanos  son  loulmcnlc  dislintos.  Los  dc  la  figura  3.6  son  dc  anilisis  dc  ncsgoi  y 
sc  trata  dc  preguntas  dirigidas  a  la  identificaddn  dc  la  falia  dc  coniroict.  Sc  s«a 
dirigidas  a  consultorcs  por  la  pUnificacidn  dc  los  ticmpos  y  por  scr  preguntas  mb 
concretax. 


En  cl  punto  3.7  sc  expone  un  cycmplo  real  dc  una  mctodokigia  dc  auditor  intern 
ncccsana  para  revisar  cualquicr  aplivacion  Como  sc  ve  cn  cl  cycmplo  csti  formadt 
por  rccomcndacioncs  dc  plan  dc  trabajo  y  dc  todo  cl  proccso  quc  dcbc  segw. 
Tambidn  define  el  objetiso  dc  la  misma.  quc  habri  quc  desenbf  k)  cn  el  memorinduia 
dc  apenura  al  audnado.  Asimismo  lo  describe  cn  forma  dc  cicstionanos  gendneot. 
con  una  oricntacidn  dc  los  controles  a  revisar. 

En  cste  caso  del  auditor  mtemo  informatico  le  serviri  dc  juia  para  confccctorur 
cl  progranu  real  dc  trabayo  dc  la  auditoria.  El  auditor  deberd  hater  los  cucsiionahot 
mis  del  al  lados  si  asi  lo  cstima  oportuno  y  defintr  cuantas  prurhas  estime  oportunas 
Asimismo.  si  cuando  cmpic/a  una  auditoria  cl  auditor  detevta  via*  altcmativas  a 
revisar,  su  deber  es  scguirlas  cambiando  cl  (dan  dc  trabajo.  Por  tanto.  cl  concepto  dc 
las  mctodologias  dc  anilisis  dc  riesgos  dc  "ticmpos  modulus"  es  mis  bicn  pan 
consultorcs  profesionalcs  quc  para  auditorrx  inlemos.  Esl os.  aunque  dehen  plamficar 
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tus  ticmpos.  en  principto  no  deben  constmnr  nunca  ui  factor  principal.  dado  que  mi 
funoOn  es  la  de  vigilancia.  >  <sla  se  c  ample  si  cl  auditado  se  viente  vigilado. 

FJ  audiior  mierno  debe  crcar  sus  mctodologfax  nccesanas  xara  auditor  los 
Astmcos  aspect o  Areas  que  dcfiiu  en  cl  plan  auditor  que  seremos  en  cl  siguiente 
junto. 


Tatnbifa  es  interesante  aclarar  que  hay  herramienut  software  de  ayuda  a  la 
tuditorfa  de  cuentax  que  aunque  se  lev  llame  herramienus  de  audituriu.  v64o  lo  son 
pin  los  auduorcs  de  cuentas.  y  cstn  no  e*  auditorfa  informitica  sino  ayuda  a  la 
auditoria  de  cuenus. 

Es  decir.  que  no  es  lo  mismo  ser  una  informitica  de  los  auditoees  que  scr  auditor 
informitico.  La  auditorfa  financiers  es  an  dittamen  xobrt  lot  ettadet  de  cueniat.  Y 
la  auditorfa  informitica  es  una  auditorfa  en  sf  misina.  y  si  el  auditcr  informitico  no 
certifies  la  integndad  de  los  dal  os  informiticos  que  usan  los  auditorcs  tinancierm. 
foot  no  dehen  usar  los  sistemas  de  informacidn  para  sus  dictimencs.  Tal  es  la 
uaportancia  de  la  exist encia  de  los  auditorcs  informiticos.  que  son  bs  garantes  de  lu 
serandad  de  los  informes  de  los  auditorcs  financteros  que  trabayan  coo  los  dal  os  de  los 
liwemasde  mformacidn. 

FJ  esquema  metodoldgieo  del  auditor  cstl  defimdo  per  el  plan  auditor  que  semos 
acontinuacidn. 


3.4.  EL  PLAN  AUDITOR  INFORMATICO 

Es  el  esquema  mctodoldgico  mis  impottante  del  auditor  infotmitico.  En  este 
docutncnto  se  debe  desenbir  lodo  sobre  esta  fu  no  An  y  el  irabajo  que  realm  en  la 
cnbdad.  Debe  estar  en  stntonfa  con  el  plan  auditor  del  rcsto  de  los  auditorcs  de  la 
entidad. 

Las  partes  dc  un  plan  audiior  informitico  deben  ser  al  mcnos  las  siguientes. 

-  Kune  tones.  UbtcaciAn  de  la  figura  en  cl  organigram*  dc  It  empresa  Debe 
cxistir  una  clara  segregation  de  funcioncs  con  la  Informiiica  y  de  control 
i memo  informitico.  y  &ue  debe  ser  auditado  uroWn.  Deben  desenbrrse  las 
funcioncs  de  forma  preeixa.  y  la  organuaetdn  interna  del  drparumento.  con 
todos  sus  recursos. 

I’roetdimicntos  para  las  distintas  l areas  de  las  auditorfas.  Eure  cllos  estin  cl 
proccdiinicmo  dc  apertura.  cl  de  entrega  >  djscusidn  de  debiltiades.  entrega  de 
informc  prcliminar.  cierre  de  auditorfa.  rcdacciOn  dc  informe  final,  etc. 
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-  Tipox  dc  auditoriax  que  rcaliza.  Mctodologia*  y  cucxtionanox  de  lax  miunav 
Ejempto:  reviudci  dc  la  aplicactdn  dc  facturacidfl.  revision  dc  U  LOPO. 
reviodn  dc  xcgundad  liuci.  rexixido  dc  control  intcmo.  etc.  Exitfen  l rex  tipox 
dc  auditorial  xcgiin  mi  alcaoce:  la  Full  o  cotnplcu  dc  uiu  area  (por  cyemplo: 
control  intcmo.  informitica.  Imutada  a  un  aspccto.  por  cjcmplo  uni 
aplicacidn.  la  xcgundad  Idpca.  cl  xoftware  dc  have.  etc.),  la  Corrective  Action 
Review  (CAR)  que  ex  la  comprohacidn  dc  accioncx  corrective  dc  auditorial 
anterior  ex. 


Sixtrma  dc  oaluacioo  y  lox  dixiintox  axpcctox  que  cvaliia  Indcpcndicntc- 
mentc  dc  que  cxixta  un  plan  dc  acctoncx  cn  cl  mforme  final,  debc  liaccrxc  d 
cxfucr/o  dc  dcfimr  vanox  axpcctox  a  evaluar  como  nivel  de  gcxtidn 
econdmica.  gcxtidn  dc  recurxox  humanov  cumplimicnto  dc  nor  max.  etc.,  ad 
como  real  i/or  una  exaluaoOn  global  dc  rexumen  para  toda  la  auditoria.  En 
nuextro  paix  exta  cxaluacidn  «udc  haccrxc  cn  trex  nivelex  que  xon  "Bien". 
“Regular",  o  "MaT.  xigmficando  la  vixido  de  grado.  dc  graxedad  Exta 
cvaluactdn  final  nox  xerxtri  para  dcfimr  la  fecha  dc  rcpcticidn  dc  lo  inixnu 
auditoria  cn  cl  futuro  xcgiin  cl  nixcl  dc  cxpoxiodri  que  xc  Ic  haya  dado  a  cite 
upo  dc  auditoria  cn  cucxtidn. 


CICLO  DE  AUDITOR! AS 


hgura  J.  I I.  Nivel  tie  etptutcida  para  defirur  la / recuent  m  de  la  auditoria 

-  Nixcl  dc  expoxiddn.  Como  cjcmplo  podemox  x«  la  figura  3. 1 1 .  El  nivel  dc 
expoxicidn  ex  cn  exic  caxo  un  mimero  del  uno  al  die/  dcfinido  xudjctix  omente 
y  que  me  pcrmilc  cn  ha%c  a  la  cvaluactdn  final  dc  la  dltima  auditoria  rcah/ada 
xotwc  cxc  tema  dcfimr  la  fecha  dc  la  rcpcticidn  dc  la  nuvma  auditoria  Exte 
ndmero  no  convicnc  confundirto  am  mnguno  dc  lox  parimetrox  utili/adox  cn 
el  anilixix  dc  rxexgox  que  exta  cnfocado  a  prohabilidad  dc  ocvrTcncia  En  exte 
caxo  cl  valor  del  nivel  dc  cxpoxkridn  xigmfica  la  xuma  dc  factorcx  como 
impacto.  peso  del  ire  a.  uluacidn  dc  control  cn  cl  irca  O  tea  xc  puede  incluxo 
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rehajar  cl  nisei  de  un  Area  aushlada  porque  esti  may  been  >•  no  mcrocc  la  penj 
rrvisarla  tan  a  menudo 

-  List  a  dc  distribution  dc  informex. 

-  Seguimiento  de  Us  acckmex  corrrctorav 

-  Han  quinqucnal.  Todat  las  arras  a  aodilar  dr  ben  carrctpondcrsc  con 
cucxtionahos  mctodoJOgicos  y  deben  rcparticsc  rn  cualro  o  cinco  aftos  dc 
trabaju  haa  plamficaoOn.  ademis  dc  las  tepeuciooe*  y  ahadido  dc  las 
auditorfas  no  programasUs  que  sc  estimen  oportunav  drberi  compooer 
ansialmcntc  cl  (dan  dc  trabujo  anual. 

-  Han  dc  Irabajo  anual.  Deben  esiimarsc  uempo*  dc  mancra  rational  y 
tomponcr  un  calcndano  que  utu  sc/  icmunado  nos  iV  un  rrxultado  dc  boras 
dc  trabajo  prctisias  y.  por  tamo,  dc  las  rccursos  que  sc  ncctsitarin 

IVbcinos  hater  notar  que  Cs  intcrcsantc  lenrr  una  hcrramicnu  programada  con 
mctodologfj  abicfla  que  pemuu  confccciooar  los  cucslionanot  dc  las  distmus 
auditorial  s  cubnr  ficilmcntc  Us  hitos  y  lasts  dc  los  programas  dc  tratayo  una  sc/, 
drfiatda  la  mctodologla  complcta.  Ksto  sc  pueslc  hater  sin  dificultad  con  cualquicr 
herranumu  potcnlc  dc  las  que  caistcn  cn  la  actualidad 

Las  mctodologlas  dc  audilorfa  informitica  son  del  upo  cualitativo/subjelixsi 
fcdtmos  deeir  que  son  las  subjetivas  por  cxcckncia  Por  tanto.  esun  basatUs  cn 
profcsionalcs  dc  gran  nivel  dc  expericncia  y  formation.  capaccs  dc  dictat 
rrvomrndac  tones  idtmcas.  opcrativas  y  juridical.  que  cxigcn  una  gran  profcsissnalidad 
y  formacidn  contmuada  Sdlo  a\i  csla  funetdn  sc  consotidari  cn  las  cniisladcs.  csto  cv 
por  cl  "rexpeto  profesionaP  a  los  que  ejerven  la  funcibo. 


3.5.  CONTROL  INTERNO  INFORMATICO.  SUS  METODOS  Y 
PROCEDI MIENTOS.  LAS  HERRAMIENTAS  DE  CONTROL 

3.5.1  La  funcl6n  de  control 

Hoy  cn  dia  la  tcndcncia  gcncrali/ada  cs  contcmplar.  al  I  ado  dc  la  figura  del 
auditor  informilko.  la  dc  control  intento  infonawco.  Tal  ex  cl  case  dc  la 
crgani/acidn  international  I  S  A  C  A.  (Information  Systems  Audit  and  Control 
Association)  que  ton  antcriondad  sc  I  lamb  The  EDP  Auditors  Association  Inc. 

Auoque  hay  una  cicrta  pokmica  profcnonal  coo  esta  hmcidn  >  no  cxivlc  una 
accptacirin  tan  clan  como  la  funcktn  dc  auditorfa  mfoemitKJ.  parccc  ra/onahlc  y  sin 
■ucncifa  sic  crcar  doctrina  drfmirla  como  cxistc  cn  general  cn  muchas  muhina 
ckmalcx. 


La  funcion  dc  Control  Informitico  Indcpcndientc  dcbcria  scr  co  primer  log* 
mdepcndicnle  del  deparumento  controlado.  Ya  que  "por  vcgrcgacKSn  de  funciooet  U 
informilica  no  dcbcria  controlanc  a  *f  mitma"  Particndo  de  la  hate  de  un  cooccpto 
cn  el  que  la  teguridad  dc  *i*tema*  aharca  un  campo  mix' ho  mayor  dc  lo  que  et  b 
vcguridad  kVgtca.  podriumo*  decir  que: 

-  lil  area  informilica  monia  U»  proceto*  informitico*  vegurut. 

-  El  Contfol  interim  monta  lo*  conmtlc*. 

-  La  Auditoria  Informilica  rsalua  el  grado  de  coolrol. 

Por  unto,  podriamos  decir  que  cxistoi  clara*  difcreociat  entre  la*  funcioncs  de 
control  informitico  y  las  de  auditoria  informilica. 


la  Auditoria  Informilica 

-  Ttenc  la  funcMn  de  vigilancia  y  evaluation  mcdiante  diciimenes.  y  loda*  tut 
mctodologias  van  cncaminada*  a  e*ta  funetdn. 

Tic  no  mi*  propio*  objetivo*  distiniot  a  kn  auditore*  de  cuenta*.  aunque  ncce- 
*aho*  para  que  d*to*  puedan  unlirar  la  informacidn  dc  tut  title  mat  para  tut 
evaluacione*  financicras  y  operati  vat  Evaldaa  cftciencia.  coslo  y  teguridad  ea 
*u  mit  amplia  vitido.  e*to  ex  tod  at  lot  nctgos  informativo*.  ya  vean  lot 
clisicos  (contidencialidad.  intcgridad  y  ditpombtlsdadl.  o  lo*  c ottos  y  lot 
juridicos.  dado  que  ya  no  hay  una  clara  teparacidn  cn  la  mayoria  de  lot  cam*. 

-  Opcran  tegtin  cl  plan  auditor. 

-  Ulilizan  metodologia*  dc  cvaluacidn  del  tipo  cualitativo  con  la  caractcrirtica 
de  lav  pnicha*  de  auditoria. 

-  Eoablccen  plane*  quinquenale*  cotno  ciclo*  complete*. 

-  Sittcmas  dc  evaluation  de  repetKidn  dc  la  auditoria  por  nivcl  de  expouciOa 
del  irca  auditada  y  el  rctultado  de  la  ultima  auditoria  de  e*ta  irca 

-  La  funcidn  de  to  pone  informliioo  dc  todov  lo*  auditore*  (opcionalmcMc). 
aunque  dejando  claro  que  no  *e  debc  pen  tar  con  esto  que  la  auditorii 
informilica  con*i*tc  cn  cuo  volamente 


Control  Inlerno  Informitico 

Tie  lie  funemne*  propiat  (administration  de  la  seguridad  hSgica.  etc.). 

-  Funcione*  de  control  dual  con  otro*  depanamentot. 

-  luncidn  normal ■  t  a  y  del  cumpliimento  del  marco  juridico. 
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-  Operan  sc  gun  proccdimienios  dc  comrol  en  los  que  it  vca  inwlucrados  y  que 
luego  it  JcvjuTolUrin 

-  Al  igual  que  en  U  auditorfa  y  dc  forma  optional  puedcn  \er  el  soportc 
mlormiiKo  de  control  iniemo  no  informltico. 

Podemos  pasar  >a  a  proponcr  las  funciones  de  control  intcmo  mis  comuncv 

-  DcfinicnSn  dc  proptetarios  y  pcrfiles  scgtln  "Clasificacidn  de  U  InformaciOn" 
(utih/ando  metodologfa). 

-  Administration  delcgada  en  Control  Dual  (dos  personas  intc-vicnen  en  una 
acciOn  como  medida  de  control)  de  la  tcgundad  Idgtca. 

-  Responsible  del  devarrollo  y  actualiracidn  del  Plan  de  Contingcncias. 
Manualcs  dc  proccdimienios  y  Plan  de  Segundad. 

-  Promoter  cl  Plan  dc  Segundad  InformtacaalComilddeScgur  dad. 

-  Dtctar  Nonnas  dc  Segundad  Informant  a 

-  Dcfinir  los  Procedinuentos  dc  Control. 

-  Control  del  Entomo  de  Devarrollo. 

-  Control  de  So  pones  Magrkticos  scgtln  la  Clasificacidn  de  la  Informacidn. 
Control  de  Soponcs  Ffsicos  (listados.  etc.). 

-  Control  dc  Informacidn  Comprometida  o  Sensible. 

-  Control  de  Microtnformitica  y  I'tuario*. 

-  Control  de  Calidad  dc  Softw  are 

-  Control  de  Calidad  del  Scrvicio  Informatico 

-  Control  de  Costes 

-  Responsible  del  Departamcnto  (gestidn  de  recunos  humanns  y  idcnico*). 
Control  dc  Liccncias  y  Relaciones  Con  tract  ualcs  con  lerceros. 

-  Control  y  Manejo  de  Claves  de  cifrado. 

-  Relaciones  cxicmas  con  entidades  reUciooadas  con  la  Stgundad  de  la 
Informacidn. 

-  Dcfmicuio  de  Rcqoenmientos  de  Segundad  en  Project  os  Nuevo*. 

-  Vigilancia  del  Cumplimiento  de  las  Normas  y  Controlcs 

-  Control  de  Cambtot  y  Vers  tones. 

Control  dc  Paso  de  Aplicaciones  a  Kxplotacidn. 

-  Control  de  Medidas  de  Segundad  Ffsica  o  corporativa  en  la  Infarmiuca. 

-  RcsponsabledcDatosPcrvxulesfLOPDyCOdigo  Penal). 

-  Otros  controlcs  que  >e  le  designen. 

-  Otras  funciones  que  «e  le  designen 

Todas  ertas  funciones  son  un  poco  ambictoxas  para  dcsarrolailas  desde  el 
mtante  uncial  de  La  implantacidn  de  csta  figura,  pero  no  debemos  perder  el  objelivo 
de  que  el  control  mformttico  es  el  component c  de  la  “actuacKSn  segura"  entre  los 
•suarios.  la  informitka  y  control  imeroo.  todos  ellos  auditado>  por  auditoria 


eforminca 
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Pat*  ofctcncr  cl  cntramado  dc  contrarocdidav  o  contnlcv  compucuo  pot  lot 
(adorn  que  vciamrn  cn  la  figura  3.1.  dchcremm  tr  aboriando  proycctm  usodo 
diuintav  mctodotogta,  ul  como  sc  otwcrva  cn  la  figura  3.12.  quo  nan  conformant) 
mcjonndo  cl  mkmcro  dc  controlc*. 
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Figura  J.I2.  Obtrntton  dr  hi  ctmlndn 

Evte  plan  de  pruycckn  lo  llamarcmm  “Plan  de  Scgundad  InformutKa"  Dos 
cum  proycctm  dc  vital  impotiancia  von  la  “Oavificacirto  do  la  Informacidn"  y 
’PracafinkMOt  dc  Control-.  El  punto  B)  dc  la  figura  corrcvpondc  al  primcro  y  cl 
al  vcgundo.  y  vuv  mctodologiav  vc  vcn  a  continuacirio. 


3.5.2.  Metodologias  de  clasificacion  de  la  Informacidn  y  de 
obtencion  de  los  procedimientos  de  control 


ClaUftcarlon  dc  la  informacidn 

No  cv  frccucntc  encontrar  metodologuv  dc  cue  tipo.  pero  I;  mciodologia  PRIM  A 
ticnc  dov  mridulm  que  dcvarroUan  cum  dov  avpcctm  y  que  vetnev  a  continuacidn. 

Conicmplando  la  figura  3.12  podriamm  preguntarnm  vi  cv  vuficicntc  con  un 
analiMv  dc  rievgov  para  oteencr  un  plan  dc  contramcdidav  q«c  mn  I  levari  a  una 
Mtuacion  dc  control  como  vc  devea.  la  revpueMa  cv  no.  dado  qtr  todav  lav  entidadev 
dc  informaetdn  a  proteger  no  ticncn  cl  mivmo  grado  dc  impotimcia.  >  cl  aniline  dc 
nevgm  mctodoldgicamcnic  no  pcrmitc  aplicar  una  difercnciaciW)  dc  contramcdadav 
vcgvln  cl  activo  o  rccurvo  que  protege,  vino  pot  la  prohabilidad  del  rievgo  anali/ado. 
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Ticnc  quc  xer  oiru  conccpio.  coino  cl  quo  sc  ha  rap  cn  la  dasificacidn  dc  la 
inform  acibn  Edo  cx  “SI  IDENT1F1CAMOS  DIST1NTOS  NIVELES  DE 
CONTRAMEDIDAS  PARA  DISTINT  AS  ENTIDADES  DE  INK)RMACI6N  CON 
DIST1NTO  NIVEL  DE  CRmCIDAD.  ESTAREMOS  OPTIMtZANDO  LA 
EF1CIENCIA  DE  I  AS  CONTRAMEDIDAS  Y  REDUCIENDO  LOS  COSTIXS  DE 
US  MISMAS". 

Pm  ejcmplo.  xi  cn  vez  de  cifrar  la  red  de  comumcaciones  por  igual  wmot  capaccx 
de  difcrcnciai  poc  quc  lfnea.%  va  b  information  quc  claxificamox  coino  Rcdnngida  a 
los  propictariox  dc  la  mitma.  podretnox  cifrar  solamcnlc  cxiax  llncax  para  proiegcrla 
un  nccccidad  dc  haccrlo  para  lodax.  y  dc  esa  mancra  dixminuiremox  cl  coxto  dc  U 
cottramcdida  "cifrado". 

Tradicionalmcnlc  cl  cooccpio  dc  informacibn  claxilicada  sc  aplied  a  kw 
documcntox  dc  pupcl.  aunque  ktx  cnicnox  y  jerarqufax  nunca  Nan  vkJo  mix  dc  dm 
{HOMO  'i  w>V  Con  la  iccoolo^la  dc  la  informacibn,  cl  cooccpio  lu  cambiado.  c 
iocluxo  xc  ha  perdkki  cl  control  cn  eMotnM  xenviblex.  Nacc  poex  cl  conccpio  dc 
ENT1DAD  DE  INPORMACI6N  corno  cl  objctisxi  a  protege*  cn  cl  entomo 
ioformfeico.  y  quc  la  claxificacxbn  dc  b  informacido  nos  ayudari  a  proicgcr 
especial  i /ando  lax  coni  named  idas  xcgikn  cl  nivd  dc  confidcncblidad  o  imponancia  quc 
lengan 


Ecu  mciodoksgu  ex  del  lipo  cual itati vo/subjcti  vo.  y  conui  cl  rcxio  dc  la 
metodoksgfa  PRIMA  ticnc  tolas  dc  ayuda  con  cl  conccpio  abteno.  csjo  cv  quc  cl 
profctaonal  puede  a  Nadir  cn  b  hcrramicnia  nisclcx  o  jerarqubv.  cxiindorcx  y  objetnox 
a  cumplir  por  ntvel,  y  ay  mbs  dc  coniratncdidav. 

Ejmpks  dc  Eniidadcs  dc  Infonnacidn  son:  una  panialla.  un  liuado.  un  archivo 
dc  datm.  un  archivo  cn  un  "dreamer",  una  microficha  dc  saldox.  lox  sucldos  dc  los 
ducciissM.  los  dales  dc  lipo  "xalud"  cn  un  archrsxi  dc  personal,  una  iransacidn.  un  id., 
un  editor,  etc. 


0  sea  lox  f adores  a  conudrrar  son  los  requcnmicntos  legislatives.  la  xcnsibilidad 
a  la  ditulgacidn  (confident  lalidadt.  a  b  modi  fie  acibn  (tnicgndad).  y  a  b  dedrucobn. 

Las  jerarqufax  xuden  xcr  cuatro.  y  segiin  xc  irate  dc  dptKa  dc  prescrvacidn  o  dc 
proKccidn.  los  cuatro  grupox  xerfan:  Vital-Crflica-Valuuib-No  sensible  o  bten 
Altamonte  confisJcncial-Coofidcncul-Rcstringida-No  sensible. 

PRIMA.  aunque  pemtite  dcfinirb  a  vohmtad.  bixicaincntc  define: 

•  Bstratdgicj  (informacido  muy  redringida,  rnuy  confidential,  %-ital  para  la 
xubsidencia  dc  la  empresa). 

•  Redringida  (a  los  proptdariox  deb  infonnacidn). 
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•  Dcusoinlcrnolatodosloscnipkado*). 

•  Dcuso  general  (sin  rtstnccrdnt 

Lot  pawn  de  la  metodologia  un  lot  vguicntcs; 

I.  IDENTIFICATION  DF.  I.A  INFORMATION. 

2  INVENT AR10  DE  ECTIDADES  DE  INFORMATION  RESIDENTES  Y 
OPERAT1VAS.  Insenuno  dc  programav  archives  dc  datoc.  cstructuras  de 
datos.  soponcs  dc  informacidn.  etc 

3  IDENTIFICATION  DE  PROP!  ETA  RIOS  Son  k»  que  nccoiun  para  m 
trabayo.  usan  o  custodian  la  informacidn. 

4  DEFINITION  DE  JERARQUlAS  |>e  INFORMATION.  Suclcti  «cr  cuatm 
porque  o  diflcil  distinguir  entre  mis  nisclcv 

5  DEFINITION  DE  LA  MATRIX  DE  CLASIFICAClON  Euo  conuste  n  , 
dcfinir  las  poUucas.  cslindarcs  objetivoi  dc  cootrol  y  contramcdidas  per  lip* 
y  jerarquijs  dc  informacidn. 

6  TONFECClON  DE  LA  MATRIX  DE  TLASIFITAClON  En  la  figuri  31} 
sc  observa  un  cjctnplo  dc  main/  de  ciatificacidn  en  la  que  sc  rclaoona  cadi 
cntidad  dc  informacidn  con  lot  elements*.  que  sc  corrtlaoonan.  como  wt 
transaccidn.  archives,  soportev  propictahos.  y  jerarquia  En  esia  fasc  k 
cumplimcnu  toda  la  math/,  asignindolc  a  cada  enudad  un  nisei  dc  jcrarqsu. 
lo  que  la  asocia  a  una  sene  de  hitos  a  cumplir  segdn  cl  punto  anterior,  pm 
cuyo  cumpiunicMo  drberemos  dcsarrollar  ace  woes  coocrcUs  en  cl  puno 
siguiente 

7.  REALIZATION  DEI.  PLAN  DE  ACCIONES  Sc  confccctoeu  el  pia 
dctallado  dc  acetones.  Po«  cjcmplo.  sc  reform*  una  aplkacidn  dc  ndmiiui 
para  que  un  empkado  utiliee  cl  programa  dc  subidas  dc  salario  y  su  superviior 
lo  apruebc. 

8.  IMPLANT AClON  Y  MANTEMMIENTO.  Sc  implanu  cl  plan  de  acciooes  j 
sc  manucnc  actuali/ado. 


Y  is(  sc  compku  csla  mrtodologia. 
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Obtcnrion  dc  km  proccdimicntot  dc  control 

Otra  mctodologia  nccctana  para  La  otxencidn  dc  kn  cootrolet  ciptcuikn  en  la 
fignra  3.1.  ct  "la  Obtcncido  dc  lot  Proccdimicntot  dc  Control''.  Et  frecuciKC 
ncontiax  manualc-t  dc  proccdimicntot  cn  lodat  lat  ircat  dc  la  empreta  quc  cxplican 
U*  fuockmet  y  cdmo  «  rcalt/an  lat  dittinlas  tarcat  diariamcnte.  ticndo  t^fos 
aeceaanot  para  quc  lot  auditor  ct  rcaliccn  «n  reviuooct  oprralitat.  cvaloando  vi  lot 
procedumcntos  ton  c  once  lot  y  otin  aprohadot  y  tobre  todo  u  tc  cumplcn 

Peru  podhamot  prcguMantot  u  detde  cl  punto  dc  vitu  dc  control  informalico  ct 
aafiocnic  y  cdmo  tc  podhan  mqorar. 

La  ictpucMa  not  la  da  la  metodok>g(a  quc  tc  cxpooc  a  continuation.  quc  not  dari 
otro  plan  dc  acciooct  quc  Ul  cotro  trata  dc  expretar  la  figura  3.12.  contribuird 
(umiedotc  a  lot  dittinlot  proycctot  dc  un  plan  dc  tegundad  para  mejorar  cl 
ratramado  dc  contramcdidat. 


Mrtodologia 


Fare  /.  Dtfinkidn  tie  Objttivos  de  Control. 

Sc  componc  dc  tret  tareav 

Tarca  I.  Anilitit  dc  la  empreta  Sc  cttudian  lot  procctot.  orgamgramat  v 
foncionct 
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Tare  a  2.  Rccopilacidn  de  estindarev  Sc  cttudian  todas  U\  fucnlo  ile 
informacidn  nccesanas  para  conseguir  dcfinir  cn  la  siguicnte  fate  k» 
objctivot  dc  control  a  cumplir  (por  cjemplo.  ISO.  ITSEC.  CIS  A.  etc.), 

T area. 3  Definition  dc  lot  Objctivot  dc  Control. 

Fate  II.  Definicidn  de  las  Conirolet. 

Tarca  I.  Dcfimcidn  de  k»  Controlev  Coo  lot  objctivot  dc  control  definidoi 
anali/amot  lot  proccso*  y  vamot  dcfinicndo  lot  ditlintot  controlct  q at 
sc  necesiten. 

Tarca  2.  Definicidn  de  Nccetidadct  Tccnoldgicat  <  hardware  y  hcrTaimcntas  dc 
control). 

Tarca  3.  Definicidn  dc  lot  Proccdimicntot  dc  Control.  Sc  dctarrollan  ka 
distilMot  proccdimicntot  que  sc  gcncran  cn  las  ireAt  utuaruv 
informitica.  control  informitico  y  control  no  informitico. 

Tarca  4.  Definicidn  de  las  nccetidadct  dc  rccurso*  humanot 
Fate  III.  Implantwuin  de  lot  eemtroles. 

Una  vc/  dcfinjdos  lot  controlct.  Us  hemmuentas  de  control  y  lot  recurtoi 
humanot  necetanov.  no  retta  mis  que  implant arlot  en  forma  de  acetones  especlfkat. 

Terminado  cl  proccso  dc  implantacidn  dc  accioncs  habci  que  documents  ks 
proccdimicntot  nuevos  >  rcvitar  lot  afcctados  dc  cambio.  Los  proccdimicntm 
rctulumct  serin: 

-  Proccdimicntot  proptos  dc  control  de  la  actividad  informitica  I  control  intcrw 
informitico). 

-  Proccdimicntos  dc  dittintas  areas  utuahat  dc  U  informitica.  mejorado*. 
Proccdimicntot  dc  ircas  informaticat.  mejoradov 

-  Proccdimicntot  de  control  dual  enire  control  intemo  informitica  y  cl  ire* 
informitica.  lot  utuahos  informitico*.  y  cl  irca  dc  control  no  informitico. 
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3.5.3.  Las  herramientas  de  control 

Ya  he mu>.  fubl.uk>  dc  todax  las  capas  dc  la  figura  .VI,  cvecplo  ii:l  ultimo  subs¬ 
trate  dc  U  pirimide.  esto  cs.  Us  herramientas  dc  control.  Hn  la  tccnolojla  dc  la  seguri- 
dxl  informitka  que  sc  ve  cnsuclta  cn  I  os  controlcs.  exivte  tccnologfa  hardware  (como 
k>s  cifradorcs)  y  software.  Las  herramientas  dc  control  son  elementos  software  que 

sus  caracterfsticas  funcionales  permiten  vertehrar  un  control  dc  una  mancra  mis 
actual  y  mis  aulomati/ada.  Pero  no  olvklemos  que  la  herramienta  en  tf  misma  no  es 
ruda.  Ya  hemos  vistoen  el  punto  anterior  que  el  control  sc  define  en  todo  un  proccso 
mctodolAgico.  y  cn  un  punto  del  tnismo  sc  anali/a  si  cxistc  una  hmamienta  que 
automaticc  o  mcjorc  cl  control  para  mis  tank-  definir  todo  cl  control  con  la 
hmamienta  incluida.  y  al  final  documentor  los  procedimkotos  dc  las  distiolas  ircas 
involucradas  para  que  dstos;  los  cumplan  y  scan  auditados.  O  sea.  comprar  una 
herramienu  sin  mis  y  ver  qul  podemos  hacer  con  clla  cs.  un  error  prcfesional  grave, 
qoe  no  conduce  a  nada.  comparable  a  traba;ar  sin  nktodo  c  improvisanio  en  cuakjuicr 
dncipttixa  informitka. 

Lats  herramientas  de  control  (software)  mis  comunes  son: 

-  Seguridad  Idgica  del  sistema. 

-  Seguridad  Idgica  compkmcntaria  al  sistema  (desarrollado  a  medida). 

-  Seguridad  Idgica  para  entomos  distribuidos. 

-  Control  de  acceso  ffsico.  Control  de  presetted. 

-  Control  de  copiav 

-  Gestidn  de  sopones  magrkticos. 

-  GestiOn  y  control  de  itnpcesidn  y  envfo  de  listados  por  red. 

-  Control  de  proycctox. 

-  Control  de  versiones. 

-  Control  y  gestidn  de  incidencias. 

-  Control  de  cambios. 

-  Kic. 

Todas  estas  herramientas  estin  inmersas  en  controlcs  nacidox  de  unos  objetisos 
dc  cunln.il  y  que  icguUiin  la  actuation  Jc  Us  distinlas  ircas  invclucradu.  Por 
ejeraplo.  si  cl  objetivo  de  control  cs  "scp;iraci6n  dc  entomos  cntie  dcsarrollo  y 
prcduccidn".  habri  un  procedimiento  cn  dcsarrollo  dc  "paxo  dc  aplicaciones  a 
ciptotacifa"  y  otro  en  explotacidn  de  "paso  a  explotacidn  de  ^licackmcs  de 
desirrollo".  Soponado  todo  por  una  herramienu  de  control  de  acceso  Idgico  que  cn 
un  pnxcxo  de  clasificacidn  ha  dcfimdo  distintos  pcrfiles  cn  desaiTollo  >  explotaciOn.  y 
tras  implant arlo  cn  la  herramienu.  impidc  acccder  a  uno  y  a  otros  al  cn  omo  que  no  cs 
el  suyo.  Por  tanto.  para  paxar  una  aplicacidn  de  uno  a  otro  cuarvdo  esti  lerminada.  se 
aecesita  un  procedimiento  en  el  que  intcrvcngan  las  dos  ircas  y  un  control  infomUtico 
que  actiia  dc  Have.  Esto  que  porece  dificulloso.  no  lo  es  en  la  prictica. 


www.FreeLibros.me 


»  MiwrottA  MomuirA  ux  EwognEWAfnio _ »m» 

S<Slo  a  modo  dc  cjcmplo  pongamos  k*s  objctivos  dc  control  en  el  acceso  kigico  al 
igual  que  dehertamos  ir  haoendo  en  cada  una  de  las  herramienus  de  control  anin 
cnumcradas. 


Objetisos  de  control  dc  acctso  logic o 

•  Segregation  de  functones  entre  los  usuanos  del  utfenu  produclorcs  de 
software,  jefes  de  proyecto  (si  exiuc  un  proccso  mctodoldgico  asr).  ttauca 
de  sistemas.  operadores  de  expkxactdn.  operadores  de  tclccomunicaciones. 
grupos  de  usuanos  de  aplicacioncs  (con  perfilcs  dcfmidos  por  la  Clasificacita 
dc  la  informacidn).  admimurador  dc  la  seguridad  Idgtca  (cn  control  dual  al  ter 
de  alto  riesgo).  auditorin.  y  tantos  como  sc  designen. 

•  Intcgndad  dc  los  "log"  c  impostbiltdad  dc  desactivarlox  por  mngun  pcrfil  pin 
podcr  resisartos.  Ficilmcnlc  Icgiblcs  c  intcrprctablcs  por  control  mlormatico 

•  Gestidn  crntrali/ada  dc  la  seguridad  o  al  mcnos  limca  (por  control  tnfor- 
nUkico). 

•  C'ontrascIVa  tin  tea  (a  vet  posible)  para  kw  dtslintos  Sistemas  dc  la  red.  Y  la 
autcntificacidn  dc  entrada  una  sola  vet.  Y  una  sc/,  dentro.  controlar  kit 
dcrcchos  de  uso. 

•  I  .a  contrascAa  y  archivos  con  pert 'lies  y  dcrcchos  macccsibles  a  todos.  incluso 
a  los  admmi  Mr  adores  dc  seguridad 

•  El  si  sterna  debe  rccha/ar  a  los  usuanos  que  no  usan  la  clave  o  los  dcrcchos  dc 
uso  cocTcctamcnic,  inhabiluando  y  avisando  a  control,  que  toinara  las  inedxlai 
oportunas. 

•  ScparuciOn  dc  entornos.  Significn  que  los  diuinun  usuanos  pueden  tracer 
solamente  to  quC  y  c6mo  sc  ha  auton/ado  que  hagan  para  su  funodn  Habri 
tantos  entornos  cooto  sc  prcciscn  y  cl  control  tendri  que  cstar  cn  stluactda 
normal  como  en  emcrgcncia  y  no  cntorpcccr  la  operatona. 

•  1:1  log.  o  kw  log's,  dc  activtdad  no  podrta  dcsactivarsc  a  voluntad.  y  si  sc  dudi 
dc  su  intcgndad  o  carcncia.  resolver  con  un  terminal  externo  controlado. 

•  El  sblema  debe  obligor  al  usuario  a  cambiar  la  contrascfla.  dc  forma  que  tdlo 
la  conozca  <1.  que  cs  la  dnica  garantia  dc  autemteidad  dc  sus  actos. 
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•  lis  frccuentc  cncontror  mccomsmos  de  autologoul,  que  cxpulsan  del  ustcma  a 
la  terminal  que  pcrmanccc  inactiva  mis  de  un  licmpo  detertninado,  quo  son 
ayudas  adictonalcs  a  U  segundad 

Muchos  de  eslos  objctivos  »e  pueden  sacar  de  I  os  pfoptot  estindarcs  (ISO.  l-ibro 
Naranja.  rrSEC.  etc.). 

K\te  ejcmplo  nos  puede  tenor  pan  imroducir  otra  metodologia  del  compendio 
PR1MA.  utilieada  pan  U  implantation  del  cootrol  sobec  k»  "Entomos  dtstnbsndos". 
verdadero  rclo  de  nucstrus  dtas 

Todo  cstaba  concrolado  cn  los  grades  sisiemas  en  su  nisei  C2/E2  (no  cs  mix  ho. 
pero  uifxientc  pan  el  nisei  comenul.  segtin  los  fabncantesl  Y  llcga  la  proliferacidn 
de  los  cmornos  distnbuidos.  .  "el  caos".  tEsti  cootrolada  la  segundad  lOgica  en  la 
aclualtdad’  ,Cada  res  portable  de  segundad  debe  plonleirselo'  ^Se  cumptc  el  marco 
jurtdlco  sin  segundad  Idgica? 

Sc  podha  implaniar  el  control  de  acccso  Idgico.  si  sterna  a  sitscma  con  los  propsos 
software  de  segundad  de  cada  uno  de  ellos.  con  un  coorme  esluer/o  de  recurxos 
turunos  y  complicada  opcniiso  Fodemos  resolver  mejor  el  problema  adquinendo  e 
ntsulando  un  software  de  control  de  entomos  distnbuido-  ,  Pero  que  hacer ...  edmo 
abordar  cl  problema?  ^Vcr  muchos  product  os  y  escoger  uno?  cScti  lo  mejor  pan  el 
(•two?  ,Como  lo  coin  haciendo  los  detnis? 

La  forma  mfa  aproptada  de  resolseT  esie  probienu.  hasta  donde  se  pueda.  es 
otdim  un  mttodo  prictico  que  paso  a  desarrollar 

ANAI.ISIS  DE  PLATA  FORMAS.  Se  trata  de  insentanar  las  multiples 
ptaaformas  actuales  y  futuras  (MVS.  UNIX.  AIX3  2  5.  TAN  DEN  GUARDIAN  D30. 
etc.  que  mis  tarde  nos  scrvtrin  para  saber  quf  productos  del  mercado  nos  pueden  ser 
vlSdos.  tamo  los  productos  actuales  como  los  futuros  planes  que  tengan  los 
fabricante*. 

CATALOCO  DE  RKQl KRIMIFNTrK  PltKV  Ins  DE  impi-antaci6n. 
Drsde  el  primer  momento  nace  esta  hcrramienta  (control  del  pcoyccto).  que  invertaria 
lo  que  no  se  va  a  conseguir  ( limitacsones).  asf  como  lo  nccesano  pan  la  imptanlaeiOn. 
inventanado  como  acetones  y  proyectos.  calendanrados.  y  su  duration  pan  su 
Kgutmiento  y  dcsarrollo. 

ANAI.ISIS  DE  APLICACIONES.  Se  trau  de  insentanar  las  nccesidades  de 
desarrollar  INTERFACES  coo  los  distintos  software  de  segundad  de  las  aplicacioncs 
y  bases  de  datos  Estos  dcsarrollos  deberfan  entrar  cn  el  ealitogo  de  R  P.l.  como 
proycctos  a  desarrollar.  Por  ejemplo:  DB2.  Oracle  7.1.6.  SAP  R/3.2.2,  Checkpoint 
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Firewall- 1.  OFFICE  2.6,  o  la  propta  de  Rccursos  llumano*.  etc.  Es  importance  b 
conex  ion  a  Rccurso*  Humanox  para  quo  se  detected  automiticamcnte  la*  aftcraoooe* 
en  kw  cmpicados  (alia*,  bajas,  cambios).  Tambrfn  cn  estc  pumo  conviene  ser  m  d 
productiVm'.crfacc*  soporta  cl  licmpo  real,  o  cl  proccso  batch,  o  *u%  posibilidades  de 
rcgistro*  de  activldad. 

INVENTARIO  DP.  FUNCIONAI.IDADES  Y  PROPI  ETA  RIOS.  lin  c*te 
punto  tratarcmo*  todo  cl  c*qucma  de  funcionalidade*  de  la  *egundad  Idgica  actual.  Ei 
el  memento  de  crcar  una*  jcrarqula*  de  cstindarcs  a  cumplir  (clauficacidn  de  li 
infocmacidn)  y  tralar  de  detimr  cn  esc  momento  lo*  controlc*  que  sc  dehenan  toner,  yi 
sea  de  usuano*  dc  la*  aplicacionc*  corno  de  k»  usuanos  de  lo*  *«  sterna*  y  el  u«o  de  Us 
hemumentas. 

F.stc  punto  es  importante  para  ver  *i  con  el  nuevo  esqocma  de  control  al  qar 
samos  perdemo*  objctivu*  de  control  o  no*  salon  acetones  ruses  as  para  el  catilogo  dt 
RPI.S 

R»  importante  invcniariar  uimbien  en  e*te  punto  la  saluacsdn  de  la  adminiMraoto 
de  la  segundad  Idgica  en  kss  diumtoi*  entomo*  y  la*  caractcriMica*  de  la*  contraicfta*. 
a*i  como  la  operativa  tanto  dc  lo*  uvuanos  de  lo*  dminto*  vistctru*  como  de  Ian 
distinta*  adnunislraciones  de  seguridad  y  el  control  de  log  o  reporting. 

Todo  c*te  insentano  no*  icrvird  para  haccr  un  anllisi*  de  mejora*  y  pCrdxIa*  o 
limitacione*  en  lo*  nuevo*  c scenarios  con  lo*  software  dc  control  de  lo*  entomo* 
distriburdo*.  segun  convenga  para  elegir  el  mejor  cn  co*to/beneficio. 

ADMINISTRATION  DE  I.A  SEGURIDAD.  Sc  anali/arin.  de  la*  distinta* 
opcione*  del  mercado.  la*  caractcristicas  de  cada  producto. 


Figum  S.  H.  Herramientas  de  control  de  los  entomos  dittribuidoi 
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No  olvidcmo*  que  *c  trata  dc  conteguir  que  cl  esecnano  de  los  entomos 
dutnbuidos  sc  pueda  controlar  coroo  udciui  computador  coo  un  s>lo  control  de 
kocm  (v(im  la  figuni  3.14)  sc  tnura.  E  incluto  mejonodo  cl  nivel  «  control  m  sc 
pucdr  Esto  harl  nccesano  un  coojunlo  de  software  a  insular  en  cada  plataforma. 
umido  a  una  serie  dc  interfaces  cn  las  plataformas  que  lo  neccsittn  y  que  a  los 
efectos  nos  hari  observar  la  segundad  Idgica  total  conto  un  todo. 

En  estc  punto  nos  intcresa  ser  Us  siguicntes  funcionalidadcs  t  objetivos  dc 
ocatrol  requeridos  al  nuevo  sistema  dc  control  dc  acccso: 

-  ,.1’cniute  cl  producto  cstabicccr  un  coojunlo  dc  regia*  dc  conuol  apticabtcs  a 
todos  los  rccursos  del  sistenu? 

-  4 Remote  cl  producto  al  administrador  dc  seguridad  csUblccer  un  perfil  dc 
privilcgios  dc  acccso  para  un  usuario  o  un  grupo  dc  usuahos? 

-  (.Rermite  cl  producto  al  administrador  dc  seguridad  augnar  diferentes 
admimuradorcs? 

-  ,1'etmitc  cl  producto  al  administrador  dc  seguridad  asignar  a  esios 
admimuradorcs  la  posibilidad  dc  gcstionar  pnvilegios  dc  acccso  para  gnipos  y 
rccursos  dcfinidos  (por  ejemplo.  mucous  y  aplicacioncs)? 

-  ,.Pcmulc  a  un  admimurador  pedir  acccso  para  cl  nusmo.  lanto  cotno  para 
cualquicr  usuario  de  su  Area  dc  responsabihdad? 

-  ,’lmpidc  cl  producto  que  un  administrador  sc  provea  <1  nusmo  dc  sus  propias 
peticioncs? 

Hay  que  rccapitular  todos  los  objetivos  dc  control  que  sc  esUn  Jemandando  al 
conjunto  de  entomos.  cn  lo  referente  a  la  administracido  dc  la  seguridad.  y  saber  con 
precision  cuil  dc  las  solucioncs  a  analirar  cumplc  mejor  los  requerimientos. 

Es  imponante  pensar  cn  la  concxida  automiiKa  con  la  infomuciCn  del  estado  dc 
tot  rccursos  humanot  que  componen  cl  conjumo  dc  usuanos  an  fotmaiear 
mcompatibilidadcs  por  segrcgacidn  dc  funcioncs  marcadas  por  la  dauficactdn  dc  la 
mformandn  y  por  tener  actualiradas  las  bajas/altas  y  perfodot  dc  auscncia  del  parque 
de  usuanos. 


Son  muchos  otros  los  aspect  os  que  dehen  exigirse.  como  son  que  sc  pueda 
■opoctar  mis  dc  un  perfil  en  un  usuario,  o  que  sc  puedan  definir  pcrfilcs  dc  todo  un 
drpirtamcnto  o  pucsto  dc  tnibajo.  augnaciones  tcmporalcs  de  los  fu chip  de  cada 
anpleado  para  perfodot  dc  auscncia  del  titular,  que  cl  perfil  dc  un  ingtnicro  no  pueda 
acceder  a  una  aplicacidn  erftka.  que  sc  sincroniccn  past*nrd  en  todos  los  entomos. 
etc.  En  resumen.  tamos  cuantos  objetivos  dc  control  sc  Ic  cxijan. 

SINGLE  SIGN  ON.  Estc  concepto  podemos  deftnirlo  cotno:  “Cue  es  nccesario 
solamcntc  un  pattnvrd  y  un  Uttr  ID.  para  un  usuario.  para  accrdcr  y  usar  su 
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mformacidn  >  mi*  rccurxo*.  de  todo*  los  vixtcmn  como  *i  de  un  nolo  cnlomo  k 
traiara".  hvidentcmentc  a  e*te  conccpto  habria  que  aftadir  todo*  lot  concept c»  ji 
Vitim  en  un  control  dc  accc«o  Idgico  I ume -out.  xalvapanlalla*.  log.  etc.). 

Adcmi*  podriamo*  enumerar  algunox  de  Ion  rcquerimicnto*  que  se  Ic  psden  a  a 
plataforma  dentro  dc  e*te  apartado: 

-  Sobrc  qtrf  *oporta  el  producto  cl  tingle  *ig  on.  ^Window*  3.1.  Window*  Nl 
Window*  2000.  Unix  workstation,  terminal  3270.  un  uMiario  remoto  entrarde 
a  travd*  de  un  tervidor  de  accc*o  remoto? 

-  4EI  producto  faculta  al  uwiano  dc  un  recurxo  a  acceder  via  single  aijr-oc 
rmentra*  otro*  UMiaho*  acccdcn  al  mi*mo  recurxo  dircctamente? 

-  ,.tl  producto  cncnpta  la*  tranvacciooe*  del  single  sigon  entre  la  worttw/io*  1 
el  tervidoe  de  tegundad? 

FACIUDAD DE  LSO  V  REPORTING.  En  c*te  punto  *c  valora  la  “intcrfurlr 
u*uario"  y  la  calidad  de  la  mi*ma  (*i  ticnc  interior  grifica.  *1  tienc  help  mend*.  Una 
para  cl  uxuano  como  para  el  adminimrador.  *1  tiene  mensajc*  de  error,  ti  en*cAa  d 
perlil  dc  un  determmado  ucuano  al  adminixtrador.  men*ajc*  en  la*  modiricacaoao 
como  “are  you  rare.*-.  men*aje*  a  travda  dc  la*  aplicacaone*.  etc.). 

Axinuuno  *e  evaliia  el  ni*el  de  reporting  para  k*>  admimxlradorcx  >  auditcm 
A*f  como: 

-  ,.KI  producto  ofrccc  un  report  dc  toda*  la*  plataforma*  y  aplicacione*  a  la*  qtt 
In*  uxuano*  tienen  acccto.  a*(  como  un  report  dc  todox  lo*  ucuano*  quc  tienn 
accexo  a  una  plataforma  o  aplicacidn? 

-  iVn  report  de  toda*  la*  demanda*  que  un  adminixtrador  ha  hccho.  o  en  un 
fee  ha  dad*.  o  durante  un  periodo  de  tiempo.  o  a  un  centre  dc  co*to.  o  de  toda 
la*  inactividade*.  o  de  todo*  lo*  u*uano*  acti*o*  y  phvilegiot  de  acccso  de  w 
centre  de  como.  o  dc  demanda*  pendiente*  en  orden  dc  anhguedad  de  li 
demanda.  o  un  report  de  actividad.  de  la*  aplicacione*  y  ovtenu*  (pa 
ejemplo.  el  ndmero  de  demanda*  accptadax.  pendiente*  y  recha/ada*  por  cadi 
ustanaa)? 

•  iUn  log  de  violactoncs? 

En  cualquicr  cato  todo  regixtro  dche  tenet  garanti/ada  *u  integndad  tncluxo  pan 
lo*  admimxtradore*.  no  pudiendo  de*activar*c  a  voluntad.  dado  que  quien  quicra  haco 
algo  “no  permitido".  lo  primero  que  hard  ex  a*egurar*e  dc  quc  no  quede  conuancia  dri 
hccho. 

SEGUKIDADKS.  En  exte  punto  *c  trata  de  *er  axpccto*  de  «cguridad  cliwctx 
del  propio  producto.  como  quc  el  admimurador  no  *ea  la*  password  dc  kn  uxiunoc 
una  longitud  de  password  minima,  quc  cl  producto  requiem  un  ID  y  password  dr 
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tapcud  minima  para  el  acccso  al  ptopio  producto.  el  adraimitrador  pucda  paralizar  a 
m  immoo  detcrmmado.  dual  conuol  en  la*  iunciooc*  de  nc*go  (c*to  ev  con  un  u*cr 
ID  et  neccsano  una  fim  paii+ord  y  una  second  pastuord  como  acccvo  dual  dc  do* 
aduinntradorr*  fitKoti.  cifrado  de  pam-ord.  pnvacidad  en  la  propagation  de 
paunord  en  todo  momemo,  acccao  a  lot  audttore*  para  poder  vcr  la  ID  daiahate.  un 
itgntro  de  rechazot  c  intcmot  mfructuoto*.  la  potibilidad  de  rrcroerv  v  backup 
Incremental)  de  todo  el  utiema  de  tegundad.  la  potibilidad  del  mirroring  de  la 
(buhatc  de  tegundad  para  lot  planet  de  contingent ia\  de  conmutacidn  en  l  tempo  cero 
d  centra  alternative,  etc. 

Tambi^n  facilidadc*  etpccialet  tale*  como  que  tc  pueda  rcttnngir  el  acceto  a  un 
iecuno  local  a  un  utuano. 

Hetnot  de  hater  notar  que  I  at  linutacionc*  que  vayamo*  encontrando  para  lodot 
lot  producto*.  tend  re  mot  que  rctolterlat  con  cxclutwne*  o  proccdmueniot  que 
coetiartn  en  el  catilogo  de  R.Pl.  i.  terdadero  artifice  de  la  metodotogia  que  new 
cMigari  a  rctolvcr  la*  acckmc*  ante*  de  implantar  el  producto.  y  que  *ert  un  control 
del  proyccto  durante  *u  detanollo. 

ADQUSICI6N.  INSTALACI6N  E  IMPLANTACKJN.  FORMACI6N. 
MA.M  AI.es  DE  PRfX'KDIMIKNTOS  DE  CONTROI-  Tea*  lo*  pa*o*  antenore*. 
ao  queda  mi*  que  comprar  el  producto  e  metal arto.  a*i  como  implantar  el  nuevo 
etqoema  de  tegundad  Idgica.  Y  tra*  e*io.  dar  la  formacidn  aproptada  a  lot  implicado* 
y  detarrollar  lo*  proctdimicnlo*  de  control,  que  geocrartn  proccdimieoto*  operativo* 
pn  lo*  ucuanot  dc  aplicacione*.  lo*  utuano*  intormativot.  y  lo*  adminittradore*  de 
tegundad  Idgica. 

Todo  e*te  complejo  proceto  c*  vital  haccrlo  de  modo  ordenado  y  utando  un 
nftixlo  que  permita  en  todo  mo  memo  *ahcr  qud  *e  “quiere"  y  qud  *e  "poede" 
conteguir  con  lo*  producto*  exittentes  de  control  de  entomov  tratando  dc  *uplir  con 
procedi  micnto*  de  control  lo*  huccot  que  no  podamo*  cubnr  con  tccnotogfa.  Aun  a*i. 
el  rtto  que  tenemo*  por  dclante  e*  importance,  porque  la*  toloctone*  que  ofrecen  lo* 
(abrxante*  van  muy  detri*  (rente  a  la  prohfcractdn  de  entomo*  y  aplicacione*  nuevo*. 
y  Mo  una  actitud  ratpontabla  da  ettandamar-iAn  m  tin  utlucionet  proptctaria*  de 
legsrtdad.  hard  que  lo*  fabneante*  de  *oluciooe*  para  entomo*  ditiributdo*  icngan 
producto*  de  tegundad  cada  vez  mejoer*.  y  que  en  ter  de  adapt ar  el  mvel  de 
tegundad  Idgtca  a  kt*  producto*.  scan  lo*  producto*  lo*  que  retuelvan  la*  Mtuacione* 
Bueva*  de  tegundad  Idgica”. 
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3.6.  CONCLUSIONES 

Son  muchat  poet  lav  mctodologias  que  ce  puedcn  cncoMrar  en  el  mundo  de  h 
auditorfa  infoemitKi  y  control  iniemo.  Muchat  hemot  vino  cn  cue  capftuto.  Pen 
canto  reuinten  sc  podru  dccir  quc  U  metodologia  c\  el  fruto  del  nivel  profetional  4r 
cada  uno  y  de  mj  vuhSo  de  c6mo  contcguir  un  mcjor  muludo  cn  el  nivel  de  cored 
de  cada  cntidad.  aunque  el  nivel  dc  control  reHiltante  debc  ter  similar. 

Pero  en  realidad  tod»  cllat  too  herramientat  de  trabajo  mcjoret  o  peoret  q* 
ayudan  a  contcguir  mejorct  rrsulladot  Solo  retu  am  mar  a  lot  profeviooalcs  quc  lea 
cue  lihro  a  trahajar  coo  lat  time  as  herramientat  verdaderat  de  la  auditorfa  y  el  coerrd 
"LA  ACTITIID  y  LA  APTTTUD”.  con  una  actitud  vigilante  y  una  formacria 
continuada. 


3.7.  EJEMPLO  OE  METODOLOGIA  DE  AUDITORIA  DE  UNA 
aplicaciGn 


Melodologia  de  trabejo 


Kc vision  de  rootrolet  sober  aplicaciorscs 


Objetivo 

Determinar  quc  lot  uvienuv  producer  infomtacionet  cxactas  y  complctav  ea  d 
momcnto  opomuto.  Etta  irea  et  tal  tea  la  mis  importance  en  el  trabajo  de  auditorfa 
■tifomtanvat. 


Prvgrama  de  la  revitidn 

1.  Identificar  el  irea  a  revival  Ipor  ejempto.  a  parttr  del  calendar  to  de  revisioccsV 
notiricar  al  responsible  del  Area  y  prepararte  utili/ando  papelct  dc  trabujodr 
audilorfat  antcriorcv 

2.  Identificar  lat  informactonet  nevesanas  para  la  auditorfa  y  para  lat  prueba*. 

3.  Obtcncr  infomtacionet  getter aiev  tobre  cl  sivicma.  En  ctla  ctapa.  ve  dcftcea 
lot  objetivot  y  cl  alcance  de  la  auditorfa.  y  sc  tdcntiOcan  lot  uvuarxt 
especfftcos  quc  cstarfan  afcctadot  por  la  auditorfa  (plan  de  entrevistas) 
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i  4.  Otxenrr  un  cunucimicnio  detallado  dc  U  aplicacHWuvlenu.  Sc  paran  la* 
entrctiua*  con  kn  uvumn  y  cl  penocul  implxado  cn  cl  %i*lcrm  a  revita r.  ic 
exaraina  U  documcnlacidn  dc  u*uarios.  dc  devarrollo  y  dc  opcracidn.  y  *c 
identifican  los  upectoi  mfa  impofunict  del  titfenu  IcatrxU  traUmicnto. 
talida  dc  dato*.  etc.),  la  pcnodicidad  dc  proce*o*.  ton  programs*  (ucnicv 
caractcriitica*  y  euructura*  dc  archivot  dc  dato*.  a*l  como  pasta*  dc  auditoria 

5.  Identificar  kn  panto*  dc  control  critic o*  cn  cl  «  sterna  Utilizando 

organigrama*  dc  fluyo*  dc  informaoonc*.  identiricar  la*  panto*  dc  control 
critxo*  cn  entrevista*  coo  lo*  usuanos  con  el  apoyo  dc  la  d*cumeniacirin 
wbtt  cl  *t*tcma.  El  auditor  ncnc  que  identiricar  Ion  pcligro*  y  In*  nesgo*  que 
podrian  surgu  cn  cada  panto.  Lo*  panto*  dc  control  critical  mm  aquello* 
donk  el  riesgo  c*  mi*  grave.  c*  dear,  dondc  U  neccsidad  dc  un  control  cs 
mi*  import  ante.  A  menudo.  mm  neccsanos  controlc*  cn  lo*  puna*  dc  interfa/ 
entrt  procedimtcnio*  manualc*  y  automitico*. 

6.  DucAo  y  elaboration  dc  lo*  proccdimicnto*  dc  la  auditoria. 

7.  Ejccucidn  dc  prueba*  cn  lo*  panto*  critico*  dc  control.  Sc  palria  mcluir  la 
detcnmnacidn  dc  la*  ncccudadcs  dc  hcrTamicnta*  informative.*  dc  ayuda  a  la 
auditoria  no  informitica.  Sc  rcvi*a  cl  cumplimicnto  dc  lo*  proccdimicnto* 
para  \cnficar  cl  cumplimicnto  dc  lo*  cstindarcs  y  lo*  proccdinucnto* 
formate*.  a*i  como  lo*  peocesos  dcscrito*  por  lo*  organigrams*  Sc  flujo*.  A*( 
te  sen  tic  an  lo*  controlc*  interno*  del  cumplimicnto  dc  a)  plate*,  politico*, 
proccdimicnto*.  cstindarc*.  b)  del  trabajo  dc  la  organi/acidi,  c)  requen- 
miento*  legale*,  d)  pnncipio*  generate*  de  conubilidad  y  e)  prictica* 
gcncralc*  dc  informitica. 

Sc  haccn  rcvi*ionc*  vubuantiva*  y  prueba*.  como  rc*ultado  dc  a  rcvi*j6n  del 
cumplimicnto  dc  proccdimicnto*.  Si  la*  conclusionc*  de  li  rcviudn  de 
cumplimentaodn  fuc*cn  general  men  te  poritiva*.  *c  podriai  limitar  la* 
revitiooe*  *ub*tanti*a*.  Dentro  dc  e*tc  panto  del  progranu  Je  la  rcviiidn 
podriamo*  analizar  *i  exttua  lo*  siguiente*  controlc*: 


CiMlroles  de  preparation  de  datos 

Revicar  proccdinucnto*  c*cnto*  para  iniciar.  autori/ar.  rccogcr.  preparar  y 
aprebar  lo*  daio*  dc  entrada  cn  la  forma  dc  un  manual  dc  utuano.  Venficar  que  lo* 
uaunot  entienden  y  tiguen  c*to*  proccdinucnto*. 


Revuar  que  *e  di  la  formacidn  del  “uso  del  terminal-  nccesaria  a  kn  uwario*. 

Rc*i*ar  lo*  documento*  fuente  u  otto*  document***  para  dcterminar  m  mm 
oarer  ado*  Tambidn  revisar  eddigos  de  idcntificacidn  dc  truncate  ones  y  otros 
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campos  dc  UNO  frccucntcs  para  determmar  si  von  codificados  prevumenle  fun 
minimize  errores  cn  los  proccsos  dc  preparation.  entrada  y  conversion  dc  dates 

Cuando  sea  neccsario.  vcriftcar  que  todos  los  dates  dc  entrada  cn  un  siv*.cn 
pasan  por  validacidn  y  registro  antes  dc  %u  tratamiento. 

Determmar  si  los  usuahos  preparan  totalcs  dc  control  dc  los  dates  dc  entrada  pa 
tcmuiulcs.  Comprobar  la  cxistcncu  dc  una  rcconcthacnSn  dc  los  totalcs  dc  entrad 
con  totalcs  dc  salida. 

C'omprobar  la  cxistcncu  y  seguimicnto  dc  calcndarios  dc  entrada  dc  dates  >  dt 
distiibucidn  dc  tnformes  tlistados) 

Determmar  si  cl  archiso  y  retention  dc  documcntos  foente  y  otros  formulahos  dc 
entrada  cs  Idgica  y  acccsiblc.  y  cumplc  las  nonnas  y  requenmicnlo*  legates. 

Revisar  los  proccdmuentos  dc  corrccctdn  dc  errores. 

Comprobar  la  cxistcncia  dc  perfodos  dc  rctcncidn  para  documcntos  fuenee  j 
soponcs  magnfocos. 


Controles  tit  tntrada  tit  datos 

Estabkeer  los  proccdimicoios  dc  entrada  y  control  dc  datos  que  explicit)  la 
re  vi  si  ones  ncccsanas  dc  entradas  y  saltdas.  con  fcclu  Untile,  cntchos  dc  validacidti  dt 
datos  dc  entrada;  eddigos.  mensajes  y  detccodn  dc  errores;  la  corrcccidn  dc  errores ) 
la  reentrada  dc  datos. 

Para  sistemas  interactive*.  senfkar  cl  uso  dc  mdtodos  preventivos  para  csitar  h 
entrada  incorrecu  dc  datos  funciooes  dc  ayuda  a  la  pantalla.  focmalos  fijov  cl  uso  dt 
mends  y  mensajes  para  cl  operador. 

Para  sistemas  inlcractisos.  dctcrmtrur  la  grahacido  dc  datos  dc  entrada  coo  frdi 
y  hora  actual,  asf  como  con  una  identification  del  usuano/tcnninal  y  ubtcactdn. 

Revisar  log's  dc  acveso  por  Kneas  dc  tclccomumcacioncs  para  dele  mum 
posiMes  acccsos  y  entradas  no  autonudos. 

Revisar  los  programas  para  determmar  si  conticncn  procesos  intemos  dt 
validacidn  dc  datos  (por  cjcmplo.  chcqueos  dc  digitos.  test  ra/onablcs.  totalcs  dt 
batch,  mimero  dc  cucntas.  etc.  I.  Evaluar  su  cxactitud. 
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Comparar.  validar.  apunur  y  rccalcular  campot  o  clcmcniox  dc  datox  crilicox  poc 
aetodox  manualcx  o  autoovMicov 

Para  uticmat  mtcractixox  dctcrminar  qoc  lot  datox  ur  xcnfican  cn  cl  momciHo  dc 
■  cm  rad  a  cn  cl  xixtema. 

Coraprobar  qoc  lox  uxuanox  rex  ixan  rcgularmcntc  lax  tablai  intcmax  del  xittcma 
para  valid*  tut  contcnidox. 

Rcvitar  funcioncx  matcmiticax  quc  rcdoodcan  cilcukw  para  vet  m  liencn 
mplicactonet  ncgaiivax 

Dctcrminar  quc  cxitfcn  pixlax  dc  auditoria  adcvuadat  cn  cl  diccionarto  dc  datox. 
Unuifxar  la  inierrclacidn  cntrc  I  ox  programax  y  lot  datox  para  deyar  la  potibilidad  dc 
icguir  la  pitta  dc  dal  ox  dcntro  de  programax  y  xixtcnux  cn  lot  crrorcx. 

Rcvitar  lot  pcoccdimicMot  dc  cocrcccidn  de  crrocct. 

Identiftcar  coo  lot  utuanot  cualqurcr  cddigo  dc  errocex  cnncox  quc  dcbcrfan 
forever  cn  momentot  ctpcclficox  peco  quc  nunc  a  turgen.  i,Se  han  dcxactivado  lot 
cMigot  o  mentayex  de  error? 


Conrrolr  t  de  iraiamienio  y  atntaUzaciM  de  daioi 

Vcr  u  hay  cxtablectdox  controtcx  mlcroot  automaii/adox  dc  proccto.  ulct  como 
ratiaax  dc  vabdacidn.  cn  cl  momcnco  dc  la  actualuacido  dc  lot  archivot  dc 
tranxaccidn.  referenda  y  macxirox 

Menuficacidn  dc  Iranxaccioocx  por  cl  uto  dc  niimerox  dc  batch,  eddigos  dc 
armvacodn  y  otrox  mdacadorev 

Reviwdn  del  log  dc  iranxaccioocx  para  nJcntifKar  prubtemax  encontradox  poc  cl 
operador  y  lax  mcdidat  xeguidat. 

Rcxtriccidn  dc  la  potibilidad  dc  paaar  por  cnctma  dc  procetut  dc  validacidn. 

Acepcacidn  poc  lot  uxuariox  finale x  de  lodax  lax  trantaecionct  y  cUculox  de  la 
aptocacidn. 


Rcvitar  lot  lotalcx  dc  control  de  entrada  dc  datox. 
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Verificar  quc  cuucn  toulc*  dc  control  para  coofirmar  la  huena  mtcrfa/  entrc  jct» 
o  programs*. 

Comprohv  quc  existcn  valklacionc*  cnirc  totalc*  dc  control,  manualc*  j 
automation.  en  punio*  de  la  mtcrfa/  cntrc  proce*o*  manualc*  y  automati/ados 

Vcriftcar  quc  lo*  log's  de  actividad  de  u*tcma*  son  rcvisados  por  k» 
respomablc*.  para  mvcstigar  aoccso*  y  mampulaoooc*  oo  aiMon/ado*. 

Vcr  lo*  controle*  *obre  la  cntrada  dc  dato*. 


Control*  t  d*  mlnia  de  dato  i 

Dctcmunar  u  kn  utuano*  comporan  lotalc*  de  control  de  lo*  dates  de  cntrada  cce 
totalc*  dc  control  dc  dato*  dc  salida. 

Dcterminar  *i  cl  control  dc  dato*  revita  lo*  informc*  dc  salida  (lislado*)  pan 
dctcctar  mores  evidente*  talc*  como  campo*  dc  dato*  quc  faltan,  valorc*  bo 
raronablet  o  format  a*  incorrecto* 

Vcriftcar  quc  *c  haee  una  identificactdn  adccuada  *obrc  lot  informc*.  per 
cjcmplo.  nombre  y  ruimero  dc  informc.  fccha  dc  *alida.  nombre  dc  irea/deportamenta 
etc 

Comparar  la  li*ta  dc  ditthbuckta  dc  informc*  con  lo*  utuano*  quc  lo*  rccibcn  ca 
rcalidad.  tMay  persona*  quc  rccibcn  cl  informc  y  quc  no  dcherian  rccibtrlo? 

Vcriftcar  quc  lo*  informc*  quc  pasan  dc  aplicabilidad  *e  drstruyen.  y  quc  no 
pasan  simpiemente  a  la  basura.  sin  segundad  dc  destrxiccidn 

Revitar  la  juuificactdn  de  informc*.  quc  cxistc  una  pcticidn  esenta  para  cada  uno 
y  quc  sc  utili/an  rcalmcntc.  a*f  como  quc  c*U  auton/ada  la  pcticidn 

Vcrificar  la  cxistcncia  dc  perfodo*  dc  rctencidn  dc  informes  y  *u  suficiencia. 

Revisar  lo*  proccdimicnto*  de  coricocidn  dc  lo*  dato*  de  salida. 


Control*  t  d*  docummlaciAn 

Venfkar  quc  dentro  dc  la*  activxiade*  de  dcsarrollo  y  mantenimiento  de 
aplicaciooc*  *c  produce  la  documentation  dc  sistcma*.  programa*.  opcracione*  ) 
funcione*.  y  proccdimicnto*  dc  usuaho. 


www.FreeLibros.me 


•*MU  CAFfnilO )  MirTOOOUXjAS  DE  COVTUOL  INTEKMQ.  MXATtlPAD  V  AUDCTOEIa  rt 

Exixtencia  dc  una  persona  cspccfftca  cncargada  dc  la  documentacidn  y  que 
nuntiene  un  archiso  dc  documented  ya  distnbsndox  y  a  quifnex. 

Comprobar  que  los  jefes  de  irea  sc  informen  dc  (alias  de  documentation 
•decuada  para  xux  empleadox. 

Dextniccidn  dc  toda  la  documcniacidn  de  antiguox  xixtemas. 

Que  no  sc  acepien  nuevas  aplkacioncs  par  lax  utuariox  sin  una  documentation 
compkta. 

Actualiucidn  de  la  documentactdn  al  mixmo  tiempo  que  lox  cambists  y 
modificaciones  en  lox  xixtemas. 

La  exixtencia  dc  documentacidn  de  si  Menus,  dc  programax.  dc  opcracido  y  de 
uwuno  para  cada  aplicacidn  ya  implantada. 

Cant mle i  de  backup  y  rearranque 

Exixtencia  de  proccdim*cn»os  de  backup  y  rearranque  documcntadox  y 
oetcfrobadox  para  cada  apticacidn  en  uxo  actualmentc  (No  confundir  con  el  plan  de 
ocotaigcnciax ) 

Procedimientox  c sen  lox  para  la  transfcrcncia  sic  materialex  y  documentos  sic 
backup  entre  cl  C.P.I)  principal  y  el  xitio  dc  backup  (centra  alternative). 
Mmtenimicnto  dc  un  inxentario  sic  extox  materialex. 

Existcnci *  de  un  plan  de  contingcncia. 

Identiticacidn  de  aplicacioncx  y  arc  hi  sox  dc  datox  critics*  para  el  plan  dc 
coatingcncia. 


Revixar  lox  centrals*  del  plan  de  contingcncia  y  backup  para  determinar  mi 
akoucion  y  actualiracion. 

Prucbas  de  aplicacioncx  crflicas  en  el  entomo  de  backup,  con  lox  materialex  del 
pUn  de  contingcncia  (soportex  magrkticov  documentacidn.  personal,  etc.). 

Detcrminacidn  sic  qud  sc  rcvixa.  si  casla  aplicacidn  de  un  xixtema  ex  crftica  y  xi 
detxria  mcluirxe  en  cl  plan  dc  contingcncia. 
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Grabacibn  de  tndas  las  tranvacciones  ejecutadas  pot  telcproccw.  cada  dfa;  pan 
facilitar  la  reconstruccwSn  de  atchitm  actual  i/ados  durante  el  dia  cn  caw  del  fallo  del 
si  sterna. 

Existencia  de  procesos  manualcs  para  sutemas  crfticos  en  el  caw  del  faUo  4c 
contingcncia. 

Actualization  del  plan  de  contingencia  cuando  es  necesano:  pcuchas  anualex. 


Control ei  sobre  programas  dr  audtloria 

Distribution  de  poKtacas  y  proccdimicntos  cscritos  a  auditorcs  y  rcsponsables  de 
Areas  sobre  la  adquiskidn.  desarrollo  y  uso  de  software  de  auditorfa. 

U»  de  software  de  auditorfa  tinkamente  por  personas  autoriudas 

PanicipaciOn  del  auditor  en  la  adquisiciOn.  modtficacidn/adapiaciOn.  mstalanfi 
de  paquetes  de  software  de  auditorfa 

ParticipaciOn  del  auditor  en  la  ptaniftcacida.  disefto.  desarrollo  e  implantackode 
software  de  auditorfa  desarrollado  intemamente. 

Formation  apropiada  para  los  auditorcs  que  manejan  software  de  auditorfa. 

Participation  del  auditor  cn  todas  las  modifitacioocs  y  adaptaciooes  del  wftaw 
de  auditoria.  ya  sea  rxtemo  o  de  desarrollo  propto.  Actualization  dr  h 
documentation  de  software. 

Verification  de  que  los  programas  de  utilidad  se  utilizan  correctamente  (cuanto 
no  se  poede  utilirar  el  software  de  auditorfa). 

Revision  de  tablas  de  contraseftas  para  aurgurar  que  no  se  guarda 
identificaciones  y  contraseftas  de  personas  que  han  causado  baja 


Control es  de  la  satisfaccidn  de  los  usmrios 

Disponibilidad  de  political  y  procedi  mientos  sobre  el  acceso  y  uso  de  b 
information. 

Resultados  liable*.  completes.  puntualc*  y  exact  os  de  las  aplicacioncs  tintcgnAd 
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Ubltdad  dc  la  infocmacidn  de  salida  de  U  aplicacidn  en  U  toma  dc  dcotidn  poc 

Convpren.*i6n  poc  los  uvuano*  dc  los  in  forme*  e  mformaciooe*  dc  valid*  dc  las 
aplicadoae*. 

Satisfacctdn  dc  lo*  usuarios  con  la  infomucidn  que  produce  la  aplicacidn. 

Revision  dc  los  controles  dc  reccpcidn.  archive,  proteocidn  y  scccso  dc  datos 
gurdados  sober  lodo  lipo  dc  soporte. 

PantctpaciOn  activa  dc  los  uvuano*  cn  la  elaboration  dc  rcquchnucMo*  dc 
woarto*.  cspccificac tones  dc  dtscho  dc  programas  y  revision  dc  rcsultados  dc  pruebas. 

CoMrolcs  poc  cl  usuario  cn  la  iransfcrcncia  de  infoemacione*  poc  inteccambio  dc 
documentor 


Resolution  ficil  dc  pcoblcmat.  err  ore*,  irrcgularidadc*  y  omistooc*  poc  boro  os 
contactor  entre  usu  an  os  y  cl  personal  del  C.P.D. 

Rctitiones  regulate*  dc  pcoccvos  que  podrfan  mcjocanc  por  automatization  dc 
apcctoa  paniculares  o  rcforzamicnios  dc  proccsos  manualc* 

Evaluation  dc  la  revision  y/o  rcsultados  dc  pruebas  En  csta  etapa  sc  tdcniiftcan 
f  it  cvaldan  los  puntos  fuertes  y  ddbile*  dc  kn  pcocedimicnto*  y  prdcticas  dc  control 
inferno  cn  relation  con  su  adccuacidn.  cficicncia  y  cfcctividad.  Cuando  sc  idcntifique 
uu  debtlidad.  sc  determinard  su  causa. 

Sc  dabocan  Us  cooclusiones  basadas  sober  U  evidencia:  lo  que  deberd  set 
Mfktente.  relevante.  fuble.  dispontble.  compcobable  y  thil. 

Preparation  del  infocmc.  Recontendacioocs. 


bformt  prrvio 

Para  mantener  una  relation  buena  con  cl  drea  revisada.  sc  cmtlc  un  informc 
pevio  de  los  puntos  principalcs  dc  la  revision.  Ksto  da  a  kn  responsible*  del  drea 
toisada  la  posibilidad  de  contribuir  a  la  daboraciOn  del  infocmc  final  y  permitird  una 
ttcyat  aceptaciOn  poc  pane  dc  etlos. 
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Inform*  final  dt  la  reviudn 

Sc  cmitc  cl  informe  final  despot  dc  una  reunion  coo  kn  responvaMct  del  ire 
implicadot  cn  U  rcviudn  El  conlctudo  del  informe  deberfa  describir  lot  pur.tot  4 
control  interno  dc  la  tnancra  uguiente: 

-  Opinion  global  (conclusido). 

-  Problcma(t)  espetfficott). 

-  Explicacidn  dc  la  vioUcidn  dc  lot  conirolct  internes.  planet  organiracionala 
extindaret  v  norma* 

-  DctcripoOn  dc  lot  nctgov  cxpoticidn  o  peuM-it  qtic  rcsultarfan  dc  k: 

vtokeiooes. 

Cuando  »ca  posible.  tc  tdcnuficari  el  impacto  dc  cada  problem*  cn  tormina 
ccoodroico*.  Sc  da  una  tolucidn  cspccffica  y  pricika  para  cada  dcbilidad.  St1 
■dentificarin  lac  pertooat  qoc  tc  rctponsabilirarin  dc  cada  atpccio  dc  las  solucicoa 
Las  recomendacione*  too  ra/onablcv  scnlicahle*.  mterrsante*  ccondmicamcnic  ; 
tienen  cn  cucnta  cl  untaAo  dc  la  organi/acidn. 

El  informc  debe  tenet  un  lono  comtructito.  Si  ct  aproptado  *e  anotan  lot  puaw 
fuc«te». 


Para  «u  dittnbocidn.  tc  preparari  un  rctumen  del  informc. 

Detpodt  dc  la  reviudn  del  informc  final  con  lot  responvaMct  del  4rca  revitada  * 
ditinbuiri  a  las  oust  personal  auton/adas 

El  irea  auditada  ticnc  la  potibilidad  dc  acepur  o  rccha/ar  cada  porno  dc  cootni 
Todot  lot  puniot  rccha/adot  tc  etplicaran  por  esento.  El  Area  accpta  lot  net  get 
■mplkitot  dc  la  dcbilidad  cncontrada  por  cl  auditor. 

Sc  hacc  un  teguimiento  dc  la  implancacido  dc  las  rccomcndac  tones  pan 
asegurarte  dc  qoc  cl  trabajo  dc  reviudn  produce  rctulladot  coocrctos. 
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3.8.  LECTURAS  RECOMENDADAS 

lama  A.  Schweitzer  Managing  Information  Serum)  (Admimvtralwc.  Electronic, 
and  Legal  Nlrawrer  to  Project  Bucinecc  Information)  Buttcrvotlhv  ISBN 
0-I09-90 1 95-4. 

1  M.  l-unctc  La  SegundoJ  Inforrmilua  (Mclodologfa)  Ixfccuiocc  Arcadia. 
ISBN  84-86299I3-6. 

J.  M  Lamere.  la  ircuntr  dti  petili  ri  mo\tni  nirmn  informal '.tfuei.  DunoJ 
informal  iquc  ISBN  2-04-018721-9. 

I  M.  I  jmerc,  Y  lerotix.  J.  Orly.  U i  ieantf  tin  meant  (Nfcthodec  et  technique') 
Dunod  informatiquc  ISBN  2 -04-0 1 8886- X. 


3.9.  CUESTIONES  DE  REPASO 

I  ,QoC  diferenaav  y  cimilitudec  cxictcn  entre  lac  metodologfai  cualilativac  y 
lax  cuantiutivac? ,  Qirf  vcntajac  y  qoC  uvoovementcc  tienen? 

2.  .Cuilec  con  loc  componcntcc  de  una  contramcdida  o  control  iptrimidc  de  la 
ccg  undid)?  ^Qui  pa  pel  dcccmpcAan  lac  herramientac  de  cmtrol?  cCu41ec 
coo  lac  hcrrainicntac  de  control  mic  frecucntec? 

3.  iQai  tipoc  de  metodoioglac  de  Plan  de  Contingenciac  extcun?  ^En  qirf  cc 
diferencian?  ,',Que  e*  un  Plan  de  Contingenciac? 

4.  iQu t  inetodologiac  de  auditorfa  mformitica  exictcn?  ..Para  quC  cc  uca  cada 

UIM? 

5.  iQu*  ec  el  nivel  de  expocicidn  y  para  qof  wrve? 

6.  .Oue  diferenciac  cxictcn  entre  lac  figurac  de  auditorfa  inforniiica  y  control 
■Memo  mfocmioco?  .Cuilec  von  lac  functoncc  mic  importantrc  de  fete? 

7.  ^Cuilec  con  lac  doc  mctodologlac  mic  importances  para  control  tnlcrno 
infoemfctco?  cPara  qof  cirvc  cada  uim’’ 

8.  ,.<>»<  p»  pc  I  tienen  lac  herramientac  de  control  cn  loc  controlec’ 

9.  Cuilec  coo  loc  objetivoc  de  cootrol  en  el  acceco  log*co? 

10.  iQai  cc  el  Single  Sign  On  *  ,.Por  quC  ec  nccccario  un  coftwaac  eepecial  para 
el  control  de  acceco  cn  loc  entoenoc  dictnbuidoc? 
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CAPlTUI.O  4 


EL  INFORME  1)E  ALDITORIA 


Jmr  dr  la  Priia  Stincht; 


4.1.  INTROOUCCI6N 

El  tfma  dc  cxtc  capitulo  ex  cl  Inform?  dc  Auditorial  Informiticit.  que  a  mi  vc/ 
eel  objetivo  dc  la  Auditoria  Informitacs 

Para  comprcndrr  £xta.  cn  funcion  del  Informc  que  reali/a  un.  digaraox.  experto  o 
pcrrki  -al  que  llanurcmox  Auditor  In  format  ico  .  convicnc  cxplacar  xoitcramcnic  cl 
ctoicuo  cn  cl  que  xc  devenv  ocl  vc  hoy  mi  prictica. 

La  tociedad  actual.  exta  cn  faxe  levnoUSg ica;  apenax  guarda  rccocrui  practice  dc 
■Hmorcc  ctapax  exolutivax  I  la  artcvarul.  por  cjemplo);  mix  adn.  lax  vi  olvwlando  a 
occicMc  vclocadad.  gencracidn  trac  generat  ion 

El  dominio  dc  la  (evnologfa  oorno  motor  dc  cambio  Mtcial  acclcrado  y  como 
auli/ador  dc  cambiox  tecnokJgKOx  que  xe  Mipcrponcn.  xc  hacc  rabiocamente  evademe 
«  las  llamadac  Tecnologfax  dc  Informacidn  y  Cocnunicarioncx  dc  uxo  cn  lax 
erpai/acioncx  (Trax  cl  mainfrantc  y  U*x  tcrmirulcx  lontox.  xurgicron  k»  PC*  y  lax 
nin.  cl  IJ)I.  lot  entomox  dixihbuidox.  lax  arquilccturax  clacnte/xemloc.  lax  rede* 
TCTOP  -antranctx.  extranet',  redex  privadax  virtualcx kvx  acccxox  remotox  y 
■dxilr*  nxdixntc  porlitilcx  y  tcllfonox  mdvilex.  y.  finalmcnie  -por  ah  ora-,  xe  rxn 
poponen  tcrminalcx  dom*xiicux  vinculadox  con  cl  cquipo  dc  telex  ixidr  y  terminalex 
caasuontox  dc  traKijo  concciadox  a  xervidorex  domanantex  dcxcentrali/adox...  Y  todo 
ea  ua  pcrkxio  no  xupenor  a  .trcinta  y  cinco  aftox!) 

Ena  claro:  lax  tccnologiax  dc  la  infomucadrt.  al  taempo  que  donvnan  dc  modo 
mpariNc  lax  rclacioncx  humanax  (pcrxonakx.  familiar?*.  mcrcanlilcx. 
iHenucionalcx..  .).  ticncn  un  ciclo  dc  vida  cada  vc/  mix  corto. 
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Sea  como  fucrc.  una  dc  lav  coruccucncias  de  lo  dictio  coma  sic  cn  la  diliculuJ* 
asimtlackn  iiipida  y  cquilibrada  cn  la  empresa  dc  lot  entomos  tecnokgico  )  ± 
organi/acidn  trclcndo  cl  primero  a  las  Tecnologfas  dc  Informacidn  y  ComumcacKXw, 
y  cl  segundo  a  lo  mercantile 

1-n  cmc  sentido.  cl  Auditor  Informiltco.  cn  lanto  que  experto.  lo  ticnc  crude 
(me  nos,  sin  embargo,  que  cl  Auditor  dc  Cuentas),  al  letter  que  cacaz 
profcMonalmciuc  >  cn  el  paisajc  que  CMoy  presentando.  plagado  dc  necesidadet  dt 
reciclaje  y  farmacidn.  cl  llamado  "desfase  entre  las  expretativax  dr  las  usuartoii 
los  Informes  dc  auditoria".  lass  cosas  ya  no  son  como  cran.  y  algo  habri  que  haco 
para  encontrar  un  punto  dc  cquilibrio  ra/oiublc  entre  cl  desfase  mencionado  y  b 
coniabilidad  dc  los  usuarios  cn  cl  Informc  (y  en  cl  Auditor  Informilico). 

I  j  complcjidad  dc  los  sisicmas  dc  informacidn  crccc  con  sus  pccstacioncs  j 
caractcrfstkas  (concctividad.  pottabilidad  ..);  la  ncccsidad  dc  utili/arlos  que  nenen  la 
organ) /ac tones  -public  as  y  pnvadas-  cn  lodes  sus  imbilos.  alcan/a  hoy  un  sate 
csiratlgico  dc  compclitividad  y  supervivctscu.  Podemos  afitmar  que  nunca  <mn 
Memos  sido  tan  dcpcndicntcs  dc  kss  sistemas  de  informaetdn.  Y  nunca  antes  hcirue 
ncccsitado  tanto  a  expenos  cficicntcs  (no  infaliblcs)  cn  Auditoria  Informitica. 

Coovicnc  mcnc ionar.  al  rcspccto  dc  la  prietka  dc  la  Auditoria  (Informitica),; 
siempre  cn  funs' kn  del  Informc  dc  Auditoria.  la  cxtsicncia  del  fraude  y  del  error,  sota 
todo  si  son  significativos,  asi  como  la  saloractdn  dc  las  garantias  que  aportan  loi 
informes  dc  Isis  auditorcs  informitkos  a  los  usuarios.  incluycndo  gobtemos  j 
organinicioncs  nacionalcs  c  intcmacionalc* 

La  Informitica  ex  muy  joven;  pot  tanto.  la  Auditoria  Informitica  lo  cs  mis  (a 
F.spuAa,  por  cicrto.  de  modo  superlative).  No  csti  todo  sin  haccr.  pent  si  quedtt 
muchos  cahos  por  alar,  y  cn  csto  cl  licmpo  no  cs  neutral. 

to  estc  capitulo  ty  cn  csic  contcxlo)  sainos  a  tratar  dc  fiyar  la  prictica  dc  I  a  A* 
ditoria  Informitica  cn  funcido.  como  que  da  dicho.  del  Informc.  Para  ello.  repasarema 
somcramcntc  aspect  os  prcvios  furxlamcntalcs.  como  son  las  norm  as,  cl  conccpto  <k 
rvidrncia  cn  auditoria.  las  irrrgularidadc*.  los  pa  pries  dc  trabajo  o  doc  umc  nucule 
para,  finalmcntc.  cncarar  cl  Informc,  sus  compooentcs.  caracicristtcas  y  tcodcncui 
sides' tadas  Intentaremos.  tambkn.  ofreccr  algunas  cooclusioncs  dc  interds.  sin  perder 
de  vista  cn  todo  caso  que  cn  el  mundo  auditor  dc  boy  todo  cjcrckio  de  prcdtccidn  cv 
cn  princtpto.  una  temensiad. 
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4 2.  LAS  NORMAS 

Kn  1996  U  Union  Europea  public*  cl  Ubro  Verde  dr  la  Audiloria,  dcdkado  al 
prpel,  la  poviodn  y  la  rccponvahilidad  del  auditor  legal.  Su  contcrido  afccla  a  la 
Aoitoria  Informdtica. 

En  principio.  cl  Libro  aoepta  lav  Normav  Intcmacionalcv  IFAC  pari  vu  adapracidci 
•AkvoAi  a  la  Unidn  Europea;  por  tamo,  vc  tranvmitirin  a  trnsCv  de  lav  Dircctivav 
ceoespoodicntev  a  KvpaAa  para  que  vc  transformed  cn  legnlacidn  potiliva. 

Ea  lo  re  ferrate  al  Traumicnto  Automati/ado  de  I>alov  dc  Caiictcr  Pcrvxial 
-tatluvo  divponicndo  de  una  ley  orginica-,  cl  avuMo  vc  revolvers  por  lav  mivmov 
esuev  con  la  travpovickn  de  la  actual  Dircctiva  dc  protcecidn  dc  datov  personates  y. 
^uui.  dc  otra.  cn  forma  de  propuevta  lodavia.  rclacionada  con  lav  scrvicio*  de 
tdceomunicacionev  apoyadov  cn  tecnologla  digital  y  cvpccialmcntc  Red  Digital  dc 
Sovkiov  Intcgradov. 

Otra  fuentc  dc  Normav  Intcmacionalcv  cv  ISACT.  ya  nUb  evpecffka  dc  Audiloria 
bfcrmisica  Nucvtro  puts  evti  repreventado  cn  ISACA  por  la  Otganiracidn  dc 
Aaditoria  Informatics.  cn  lento  take  off. 

Hoy  por  hoy.  la  normativa  cvpaAola  ofioal  que  afccla.  cn  mayor  o  nenor  medida. 
ala  Aoditorfa  Infonrtftica.  e*  la  viguiente: 

•  1C  AC:  Normav  TCcnkas  dc  Audiloria:  punto  2.4.10.  Evtudio  y  Evaluacidn  del 
Sivtcma  dc  Control  I  Memo 

•  AGENCIA  DE  PROTECClON  DE  DATOS:  Invtrucctdn  rclativa  a  U 
prtviaciOn  de  vervkiov  vobre  vdvencia  patrimonial  y  crCditov  Norma  cuaria: 
Forma  dc  Comprobacidn. 

t  Del  anlculo  9  de  la  LORTAD  vc  devprende  cl  dcvarrollo  reglarnctlano  dc  mcdi- 
4h  iCemcav  y  organirativav  aluvivav  a  la  veguridad  cn  lo  que  conckmc  a  iMcgndad  y 
uafldrnctalklad  oc  lov  datov  pcrvonalcv  automatizadov.  Todavfa  no  ha  ado  public  ado 
tl  icglamento.  pero  vena  dc  cvpcrar  que  vc  incluycra  cn  vu  lento  algana  referenda 
b^ecifica  vobre  Audiloria  InformAtica 

Tarabkn  convienc  rcvcAar  que  dentro  dc  la  Unidn  Europe.!.  la  FEE  ticne  cn 
■Kia  d  Pros ccto  EDIFICAS  EUROPE,  dentro  del  UN/EDIFACT.  end  que  EvpaAa 
«*1  tepreventada  por  cl  IACJCE.  que  vc  cvtiuctura  cn  cuatro  gnipov  de  trabajo: 
Mtmajev.  Audiloria  (Guiav  de  Audiloria  dc  entomos  dc  EDI).  Promoddn  y  AvuMov 

Ifnalo. 
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La  Auditorfa  Informitica  no  etti  muy  detarroltada  y.  pc*  aftadtdura.  sc  encuraB 
cn  un  punio  crucial  para  la  definicidn  del  modclo  cn  que  deberi  implantanc  j 
practicarvc  cn  la  Untdn  Eurupca  y.  por  lanio.  EspoAa.  vfa  direct iva\  Uli/Icgnlaciii 
potitiva  y  norma*  prole  uorulcv. 

Malice  mot  cvtc  avpccto  hay  do*  lendeixiav  Icgttlalivat  y  dc  prictica  * 
ditctplinav  la  anglotayona,  haiada  cn  la  Cimmon  Ixm.  con  pocat  leye*  j 
juhtprudcncu  rclevanie;  y  la  latina.  bavada  cn  cl  Dcrrcho  Romano,  dc  Icgitlaadi 
may  dctallada. 

la  icnvidn  cnirc  ettot  doc  modclot.  ecto  ev.  entre  cl  intervene  tonumo  ml  cm 
latino  y  el  mlnimo  intcrvcncioniuno  angkttajdn.  e*  ya  iwoocnible.  Uno  dc  lot  to  I 
dchcra  prevakver.  ti  o  que  rcalmcntc  not  cncaminamot  a  la  tocicdad  global. 

Juvto  ct  rcconoccr  que  lot  parimetrot  del  cambto  tccnologico  parcccn  haccr  ni 
prictico  el  modclo  anglotajOn  no  cn  vano.  cn  Kuadot  Umdot,  unto  la  Audilurh 
como  la  Informitica  (>  la\  Coraumcaciooev >.  ticnen  un  desarrollo  muy  experiment!* 
y.  tobre  todo.  adaptativo.  I.ov  parimeuot  de  tclocidad  y  I  tempo  haccr  aconvejjbr 
un  ctfucno  por  contcguir  la  dttpontbilidad  armom/ada  de  normal  legatee  y  noriru.  dr 
origen  profenonal. 

Si  la  globaliracidn  antci  menctonada  ev  un  hecho  mcucMionable.  cl  labto  mo  * 
kw  Hamad.  *v  pnruipini  genemlmente  aceptaJot  hari  potible  la  adaptation  vuficie* 
a  la  rcaltdad  dc  cada  Cpoca. 

I  n  cite  vcniido.  no  podemov  oivtdar  que  los  orgamtmot  de  armoniracM. 
normaliMTidn.  homologacidn.  acrcditacidn  y  ccrtificacidn  tendrin  que  funcionar  a  a 
ritmo  miv  acorde  con  lav  nccctidadct  cambtanicv  El  conyunlo  lSO-CliN-AKNOR ) 
lot  nncu Iadov  con  vegundad.  ITSEC/ITSEM  Europa.  TCSEC  USA  y  Comma 
Criteria  UE/NortcamCrica.  nccctiun  ir  mis  ripido.  ya  que  mi  leniiiud  eel 
provocando.  cn  un  mundo  Un  acclerado.  la  aparicidn  dc  multitud  de  organi/aciom 
pmadav  contoroot  y  atociacionet  que  con  muy  buena  voluntad  y  dptimo  tenudodr 
la  convcniencia  mcrcantil.  pretenden  untficar  normal  y  promocionar  evtindarec 

PM  ultimo,  convicne  que  te  clanfique  el  panorama  normatito.  de  prictxas) 
rctpontabrlidadet  cn  lo  que  concicme  a  lot  probtemat  planicadot  por  lov  tcrvlda 
profesktoalrv  multiditriplinarrx,  yj  que  cl  Inl.wme  de  Auditor!!  Informiltca  ■ 
componc  dc  tret  Krminov:  Informitica.  Auditoria  c  Informc. 
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4.3.  LA  EVIDENCIA 

En  cmc  cpfgrafe  ponce  saludabtc  revcAar  alguoot  asuotos  previot.  refer  tdos  a  U 
redact  km  del  Informc.  tntfados  en  ocnas  capftulos  de  cMj  obra.  psiesto  que  el  refendo 
bforme  es  vu  consccucncia. 

IV*  tanto.  tratemos  dc  recordar  en  que  consiste  la  etidencla  en  Auditoria 
hfotmkica.  asf  como  las  pruebas  que  la  avalan.  sin  olvidar  la  importarcta  relaliva  y  el 
nesgo  probable,  inhcrcnic  y  de  control. 

La  oertc/a  absoiula  no  siempre  enisle,  segdn  cl  punio  dc  visia  dc  los  audilofcs;  los 
tuunos  ptentan  lo  comrano.  No  obstante  lo  dtcho.  cl  desanollo  del  control  interoo. 
■claw  del  espeviticamcnte  informilico.  esii  en  efcrvescencia.  gracus  al  empuje  dc 
lot  Informct  USA/Treadway  (1987).  I'K/Cadbury  (1992)  y  Franc  uAicnoH  1995).  y 
ea  lugar  deslacado  el  L'SA/COSO  (1992).  Iraducido  al  etpoAol  for  Coopen  & 
L> brand  y  el  Instituio  de  Audxores  Internos  de  Flspafta. 

Frro  volv  amos  a  la  evidencia.  porque  clla  cs  la  base  ra/onablc  d:  la  optnidn  del 
Auditor  Informitico.  esto  cs.  el  Informc  dc  Auditoria  Informdiica. 

La  evidencia  ticne  una  seric  de  calificativos.  a  saber 

-  I  j  evidencia  reletanlr,  que  lienc  una  relacidn  Idgica  con  los  objetivos  dc  la 
auditoria. 

-  La  evidencia  liable,  que  es  vilida  y  objetiva.  aunque  con  nisei  de  confian/a 

-  La  evidencia  suflricnte.  que  cs  de  tipo  cuantitativo  para  soportar  la  opinion 
peofeoooal  del  auditor. 

-  la  evidencia  adeetiada.  que  es  dc  tipo  cualitativo  parr  afevtar  a  las 
conclusion?*  del  auditor. 

En  principio.  Ins  prsiebn*  son  dc  rumplimicnto  •  vuvlonllvw. 

Aunque  ya  l  rat  ado  en  otro  capftulo.  convienc  recordar  el  cscollo  prictaco  de  la 
bnporianria  relaliva  o  matcrulidad.  asf  como  cl  riesgo  probable 

La  opinion  deberii  eMar  basada  en  evident ia»  justificativav  es  decir.  desprovisias 
de  prejuicios.  si  cs  prcciso  con  evidencia  adicional. 
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4.4.  LAS  IRREGULARIDADES 

Lai  irrcgularidadci.  o  sea.  loi  fraudes  y  loi  errores.  cspcciilmcntc  U  exiucncude 
lo»  primeros.  prcocupu  unto  quo  aparccc  coo  Infasis  cn  cl  >  a  citado  Ubro  Verde  tie  b 
UE.  Ij  Direccidn  General  XV  (Comcrcio  Intenor)  y  cl  MARC  (Maastricht)  evtie 
claramentc  scnstbtluadoi  al  respcclo. 

Recordemos  antes  de  pruscguir.  que  cn  loi  orgamsnos  y  lai  emprciat,  b 
Direction  ticnc  la  rcsponsabilidad  principal  y  pnmana  de  la  detection  de 
irregularidadei.  fraudei  >  errorei;  la  respnnsabilidad  del  auditor  sc  centra  a 
planificar.  Ilevar  a  cabo  y  cialuar  su  uabajo  para  obtener  una  eipccutisa  r  a/ unable de 
su  detect  idn. 

E*.  puts.  indudablcmcntc  ncccsario  discAar  pniebos  antifraude.  que  Idgicametae 
incrcmcnurin  cl  coile  de  la  auditoria.  previo  aniline  dc  riesgos  (atnena/as. 
imponancia  relatival 

l.a  auditoria  dc  cucntas  sc  evti  judicial i/and»  -camino  que  scguiri  la  Audited! 
Informitica.  pricticu  import  ada  dc  l-Atadoi  Untdos-.  ya  que  aparecc  cn  cl  viget* 
COdigo  Penal  (delitos  vocietanon  y  otros  puntov)  con  especial  Onfasis  cn  bt 
admimsiradorcv  No  olvidemo*.  al  rcspccto.  la  obligatonedad  de  suscnbtr  pdli/ai  de 
vcjturo  de  revpotisabilidad  civil  para  auditorcs  independents.  individuates  j 
socicdades. 

Por  prudcncta  y  rectitud.  contended  aclarar  al  miximo  -de  ser  poiiblc-  si  d 
Inloonc  de  Auditoria  ct  propumentc  dc  auditoria  y  no  dc  consulloria  o  ascsorb 
informdtica.  o  dc  oUa  materia  afin  o  prAxima. 

Aunque  uempre  debe  prevalccer  cl  deber  de  cccrcto  frofcstorul  del  audstcr. 
convicnc  recordar  que  cn  cl  caso  de  detcctar  fraude  durante  el  proeexo  dc  auditoru 
procede  actuar  cn  coniccucncia.  con  la  dcbtda  pnidcncia  que  aconscja  episodic  in 
dclicado  y  conflict!  vo,  sobre  todo  si  a/ecu  a  loi  administradorci  de  la  organizaciO* 
objeto  dc  auditoria.  Ante  un  caso  asi.  convicnc  consultar  a  la  ComiiiOn  DcontotOgia 
Profcsional.  al  ascsor  juridico.  y  leer  detcnidamente  las  nermas  profcsionalcs.  d 
Cddigo  Penal  >  otras  dispositions;  inctuso  hacer  lo  propio  mo  las  de  organisms* 
ofcialcs  ulcs  come  el  Banco  de  EspaAa,  la  Direction  General  dc  Seguros.  b 
Common  National  del  Mercado  dc  Valorev.  el  organismo  rcgulador  del  medio 
ambsente  ...  que  pudicran  cstar  afcctados.  no  deberia  desestimirse.  El  asunlc  podria 
incluso.  terminar  cn  los  Tnbunales  de  juiricia. 

4.5.  LA  OOCUMENTACiCN 

En  cl  argot  dc  auditoria  se  coooce  cotno  papeles  de  trabjjo  la  “toulidad  de  bi 
documcntos  preparados  o  rccibidos  por  el  auditor,  de  mantra  que.  cn  conjutta 
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cocsuuyen  un  compcndio  dc  la  informacibn  utili/ada  v  de  lax  pruchax  cfccluadax  cn 
h  ejecucidn  de  mi  trabajo.  junto  con  lax  dcctx>o«iex  que  ha  dcbtdo  tomar  para  llcgar  a 
fctrarxc  xu  opinion" 

El  Informc  de  Auditoria.  si  se  prccixa  que  sea  profcxiorul.  tiene  que  extar  haxado 
ea  la  dorumcntacidn  o  papclcx  de  trabajo.  como  utilidad  inmcdiata.  previa 
Hpervnifo. 

La  documcntackta.  ademis  de  fucnte  de  know  how  del  Auditor  Informitico  para 
tnbajox  poxteriorex  axi  como  para  poder  rcaluar  xu  gcxtidn  interna  de  calidad.  ex 
fnente  cn  algunot  caxon  en  lox  que  la  corporacido  professorial  puede  reali/ar  un  control 
dc  cabdad.  o  haccrlo  algun  organisms  ofkial.  Lox  papelex  de  trabajo  puedcn  llcgar  a 
leocr  lalor  en  lox  Tribunalex  dc  juxtkia. 

Por  otra  paste,  no  dcbemos  omitir  la  caracicrixtica  rcgixtral  del  Informc.  lanto  cn 
m  pane  croootdgica  como  en  la  orgam/ativa.  coo  procedi nuentox  de  archivo. 
bdiqecda.  cuxtodia  y  conxcrvacidn  de  xu  documcntacidn.  cumplicndo  coda  la 
Dorsalis  a  vigentc.  legal  y  profcsional.  como  ml'nimo  exigible. 

Lox  irabujox  ulili/adox.  cn  cl  ctirso  de  una  labor,  dc  otros  auditorex  extemox  y/o 
rxpertos  indcpcndicniex.  ast  como  dc  lox  auditorex  mtemox,  xe  rcxeAcn  o  no  en  el 
bformc  de  Auditoria  Informitica.  formarin  pane  de  la  documcntacidn. 

Adonis,  xe  incluirin: 

-  El  cootrato  clientc/auditor  mformiiico  y/o  la  carta  propuexta  del  auditor 
informitico. 

-  Lax  declaracionex  de  la  Dircccidn. 

-  Lox  contratox.  o  equivalent cx.  que  afcctcn  al  xixtcma  dc  informacidn.  axf  como 
el  infonnc  dc  la  axcsoria  juridica  del  clkntc  sobrc  xux  axunlox  actualex  y 
presisiMev. 

-  El  informc  xobre  tcrceros  vinculadox. 

-  Conocimiento  de  La  actividad  del  cliente. 


4.6.  EL  INFORME 

Sc  ha  reali/ado  una  vixido  ripxda  de  lox  as  peel  os  prestos  para  tencrlox  muy 
prexotex  al  rrdaciar  cl  Informc  de  Auditoria  Informitico.  exto  ex.  la  comunicacidn  del 
Aadaor  Informitico  al  cliente.  formal  y.  qui/i.  xokmnc.  tanto  del  akance  dc  la 
aadneria;  (objetivox.  perfodo  de  cobertura.  naturalc/a  >  cxtenxidn  del  trabajo 
mlirado)  como  de  lox  rexultadox  y  concluxionev 
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Es  momenta  adccuado  dc  scpurar  lo  significative  dc  lo  no  significative 
dehidamcntc  evaluado*  por  su  importance  >  vinculacidn  con  cl  factor  ricxgo,  Ura 
cminentcmentc  de  canister  profesional  y  <tico.  sc  gun  cl  leal  caber  y  entender  dd 
Auditor  Informittco. 


Aumjuc  no  exisle  un  futmato  vinculante.  si  existen  esquemas  recornendadov  coo 
los  requisite*  mfnimos  aconscjablcs  respccto  a  euructura  y  contenido. 

Tarobtdn  c*  cuestiOn  previa  dccidir  si  cl  informe  es  largo  o.  por  el  content 
corto.  por  supuesto  con  otros  in  formes  sober  aspect  os.  hren  mis  detallados.  bicn  mb 
concertos,  como  el  inforroc  dc  drbilidado  del  control  Interno,  incluso  de  bee  hot  o 
aspect  os.  todo  ello  temendo  en  cuenta  tamo  la  Icgislacidn  vigente  como  cl  contra# 
con  el  clientc. 


En  mi  modexta  opinion,  los  tdrminos  clicnte  o  provecdorAntcroo  o  ex  term, 
tipicos  de  la  GesliOn  dc  la  Calidad.  resultan  mis  aproptados  que  infortnilico/audiur 
informincoAisuano.  ya  que  cstc  ultimo  termino  tiene  una  lamentable  connotack* 
peyorativa. 

En  lo  referente  a  *u  redacctOn.  el  In  forme  debeti  ser  daro.  adecuado.  sufictcMe  j 
comprcnsiblc  Una  utili/aciOn  apropiada  del  Icnguajc  informitico  resulia  recomcnia 
Me. 


Los  puntos  esencialex.  genOricos  y  minimus  del  Informe  tie  Auditor# 
Informitica.  son  los  sigvientes: 

/.  Ideniificacidn  del  Inform* 

El  titulo  del  Informc  deberi  idcmificarsc  con  obyeto  dc  distinguirio  de  otiw 
informes. 

2.  Identification  dr I  Cltemr 

Deberi  identificane  a  k*»  dcsiituianos  y  a  las  personas  que  efectilen  cl  encargo. 


.1.  Idrntificacum  de  la  entidad  audnada 

Identificacido  dc  la  enudad  obyeto  de  la  Auditorta  Informitica 
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4.  Ofjrtm  de  la  Auditoria  Informdtica 

Drclaracidn  dc  I  os  objctivos  dc  la  auditoria  para  idcntifiea"  su  propdsito. 
teftalando  lo*  objetivo*  incumplido*. 


5.  Normatiw  aplicada  v  excepcionet 

Identification  de  las  norma*  legale*  y  profe*ionale*  utili/ada-.  a*i  como  la* 
exccpciooc*  significativa*  dc  uso  y  cl  po*ibk  impacto  en  lo*  rcvultado*  dc  la  auditoria. 


&  Meaner  dr  la  Auditoria 

ConcTetar  la  naturalc/a  y  extension  del  trabajo  reali/ado:  irca  organi/aliva. 
perfodo  de  auditoria.  *i*tema*  de  informacidn...  veAalando  limitaciore*  al  aka  nee  y 
lotrkciooes  del  auditado 

7.  Concluiionei:  Informe  corto  de  opinidn 

Ldgicamente.  *e  ha  llegado  a  lo*  rcvultado*  y.  *obre  todo.  a  la  cvencia  del 
dktamcn.  la  opinidn  y  lo*  pdrrafo*  de  salvedades  y  dnfasi*.  *i  precede. 

El  Informe  debe  contener  uno  de  lo*  stguientc*  tipo*  de  opinidn:  favorable  o  *in 
valvrdadr*.  eon  salvedade*.  desfavorable  o  ad  versa.  y  denegada. 

7.L  Opinidn  favorable.  La  opinidn  califkada  como  favorable,  -in  salvedades  o 
limpia.  deberd  mamfeuarse  de  forma  Clara  y  preova.  y  e*  el  rcvultado  de  un 
trabajo  reali/ado  sin  limitaoone*  dc  akancc  y  sin  inccrtidunrirc.  de  acuenJo 
con  la  nomutiva  legal  y  profestonal. 

F-*  indudable  que  entre  el  informe  de  recomendacione*  al  clicntc.  que 
incluyc  lo  refer ente  a  debilidadc*  de  control  inferno  en  sentido  amplio.  y  la* 
salvedades,  cxtsic  o  ytucdc  cms*u  una  rona  tic  pan  senabiMad;  un  c*  asi 

que  tendrd  que  clarificarxe  al  miximo.  pue*  una  salvedad  a  la  opinidn  deberd 
*er  real  me  me  significativa;  concretando:  ni  pasarse.  ni  no  tlcgar.  dicho  en 
knguaje  coloquial:  en  pundad  e*  un  punto  dc  no  retomo. 

7.1  Opinidn  con  salvedades.  Se  reitera  lo  dicho  en  la  opindn  favorable  al 
rcspccto  dc  la*  salvedades  cuando  xean  significativa*  en  iclacidn  con  lo* 
objctivos  dc  auditoria.  describidndose  coo  prccisidn  la  naiuralcra  y  razone*. 

Podrin  *er  dstas.  scgiin  la*  circunstancia*.  la*  siguientcs: 
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•  Umitacioncs  al  alcancc  del  trahajo  reali/ado;  esto  cs.  rcstnceioocs  por 
parte  del  audtlado.  etc. 

•  Inccnidumbrr*  cu>  o  resultado  no  permiu  una  precision  raronabic. 

•  Irregularidades  significaiivas. 

•  Incumplimiento  de  la  normativa  legal  y  profctional. 

7  J.  Opinion  desfas orablc.  U  opinidn  detfavorablc  o  advert  e*  aplicable  en  el 
casode: 

•  Idcntificacidn  de  irregulartdadcs 

•  Incumplimiento  de  la  normativa  legal  y  profcv.ooal,  que  afecten 
significativamcnlc  a  kn  objetivos  de  auditoda  mformitica  estipuladot. 
incluvo  com  mccrtidumbrcv.  todo  ello  en  la  esaluacidn  de  conjunto  y 
revrAando  detalladamente  las  ra/oncs  corrcspondicntes. 

7.4  Opinkin  denegada.  La  dcncgacidn  de  optntdn  puede  tener  mi  origen  en: 

•  La»  limitaooncs  al  alcancc  de  audiioria. 

•  liKcrtidumhfc*  significaiivas  de  un  modo  lal  que  impidan  al  auditor 
forraarse  una  opintOrv 

•  Iricgulandadcs 

•  LI  incumplimiento  de  normativa  legal  y  profexional. 

7.5.  Rrsumrn.  El  siempee  diffctl  tenia  de  la  optntdn.  cstrclla  del  Informe  de 
Auditoria  Informilica.  joven  conw  informilica  >  mis  todavia  como  auditor!* 
mformittca:  por  tanto.  puede  dccine  quo  mis  que  cambiante.  mutanie 
Dcbido  a  ello.  y  ademis  con  la  nonnativa  legal  y  profcuoiui 
desacompusadas.  la  dica  *e  conviertc  cast  en  la  ilnica  fuente  de  oricntacka 
para  redueir  cl  desfasc  entre  las  cxpoctalivas  del  usuario  en  general  y  d 
informe  de  k>s  audilores. 

No  olwdciTHM  que  cxiste  la  ingenieria  financiera  y  la  coniabtlidad  creativa. 
tampoco  que  las  enttdades  que  pueden  ser  auditadas  suelcn  estar  somebdas  a 
cambios.  como.  por  ejemplo.  la  impUntacidn  de  aseguranuento  y  gestidn  de 
la  calidad  -via  ISO  ‘XIOO.  via  EEQM  (modelo  curopco>-.  remgenieria  it 
procesos  y  otras  traasformaciones  significant  as  (adaptacioncs  al  Milenio } 
al  Euro). 


8.  Rrsultados:  Informe  largo  y  otroi  informer 

Parccc  ser  quc.  de  aeverdo  con  la  teoria  de  cklos.  el  informe  largo  va  a  colocar  d 
inlorme  corto  en  su  dcbido  sitio.  o  sea.  como  resumcn  del  informe  largo  (cquLd 
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cbsoleto?).  I  .ox  uxuario*.  no  hay  Aula,  dcscan  saber  mi*  y  descan  transparcncia  como 
iak*  afladido. 

b  indodable  quo  el  liiruic  lo  marcan  I  os  popclcs  A  trabajo  o  documentation  dc  la 
Audit  oru  Informitica.  pero  exist  en  aspccto*  a  tener  en  cuenta: 

•  El  sccteto  dc  la  empresa. 

•  FJ  secrcto  profetional. 

•  1-0^  aspccto*  relex  antes  de  la  auditoria. 


Las  soloctonc*  prcvisibles  sc  orienun  hacia  un  Infocme  poc  cada  Objclivo  de  la 
Auditoria  Informdiica.  tal  como  el  de  Dcbilidade*  de  Control  Inlerno  o  lo*  infonnes 
cspeciales  y/o  complemcntanos  que  exigen  alguno*  organismos  gubemamentale*. 
como.  por  ejcmplo.  el  Banco  dc  Espofla.  la  ComixiOn  Nacional  del  Mercado  dc 
Valores  y  la  Direct  ido  General  de  Scguros.  entre  otros  y  por  ahoca. 


ft  Inform* t  pmiot 

No  es  una  prdctica  recomendable.  aunque  si  usual  en  algunos  casos.  ya  que  el 
Infotme  dc  Auditoria  Informiitica  ex.  por  principio.  un  informe  de  conjunto. 

Sm  embargo,  en  cl  caso  de  dctcccidn  dc  irregularidaAx  significaliva*.  tanto 
errore*  como  fraudes.  sobre  todo.  se  requiere  una  actuation  imncdiata  segun  la 
•ormativu  legal  y  profcsional.  independientemente  del  nisei  jerirquteo  afectado  dentro 
de  la  cstructura  dc  la  entidad.  Recordcmos  al  respecto  cl  dclito  socictano  y  la 
respoasabilidad  civil  del  Auditor  (Informdlico). 


10.  Ftcka  Je I  Informe 

El  tiempo  no  es  neutral;  la  fecha  del  Informe  cs  importante.  no  sdlo  por  la 
cuantincaciOn  dc  honorario*  y  cl  cumplimicnto  con  el  cliente.  sino  para  conocrr  la 
nugnitud  At  trabajo  y  sus  aplicacioocs.  Conviene  precisar  las  fcchas  A  initio  y 
conclusion  del  trabajo  A  campo.  incluso  la  Al  cicrre  Al  ejerckio.  si  cs  que  se  esti 
rtah/ando  un  Informe  A  Auditoria  Infonndtica  como  hcrramlenta  dc  apovo  a  la 
Auditoria  A  Cuentas.  En  casos  conflictivos  pucAn  ver  rclevantes  aspectos  talcs 
como  los  hechos  posteriorcs  al  fin  Al  periodo  A  auditoria.  hcchos  anteriores  y 
poaierioccs  al  trabajo  A  campo... 
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/ /.  Idenlificacidn  y  firma  del  Auditor 

Ettc  aspccto  formal  del  informe  e*  ctcncial  lan«o  u  c*  individual  como  ti  form 
pane  de  una  toocdad  de  auditorfa.  que  dehcri  cocretponder  a  un  wcio  o  tociot 
legal  me  me  ad  contideradot. 


12.  Ditfribueidn  del  Informe 

Bien  en  el  contrato.  bien  cn  la  eana  propuetta  del  Auditor  Informittco.  debert 
Jelmirve  qukn  o  quknct  podrln  hacer  uto  del  Infomie.  act  como  los  utot  concrrtot 
que  icndri.  pues  lot  honorariot  dcbcrln  guardor  rclacidn  con  la  reipomahilidad  civil. 


4.7.  CONCLUSIONES 

iQot  ex  el  informe  de  auditorfa  informitica  y  quC  1c  diferencia  de  otro  (ipo  de 
infonnet  (consultarfa.  aseso rfa.  tcrvicios  profctionalev  ,)  de  infoemitica? 

Rctulta  bitico.  antes  de  rcdactar  cl  informe  de  auditorfa.  que  el  atunto  e*t£  muy 
claro.  no  *6lo  por  lat  cxpectativat  ya  citadax,  tino  porque  cada  tennino  tienc  un 
contemdo  umij!  muy  corcreto;  la  etiqueta  auditorfa  ev  en  etencia.  un  juicio  dc  valor  u 
opinion  con  juMificaciOn. 

Por  tanto.  habida  cuenu  que  ticne  bate  objetiva  -tobre  lodo  cor  independence 
en  tentido  amplio-.  et  eimncntemente  una  optniAn  profetional  tubjetiva. 

Ademiv  como  te  aplican  cnlenot  en  Idrminos  de  prohabiltdad.  hay  que  evitar  la 
prcditposicidn  a  algiin  potiblc  tipo  de  manipulation,  debtdo  a  la  libetlad  de  elcccidn 
de  pruebav.  no  te  debe  elegir  una  terie  de  ellat  que  di  la  imajen  butcada  (prejuicio) 
como  consccucncia  dc  la  acutnulactdn  dc  to  got  ad  hoe. 

Etta  mtitiencia  en  darificar  o  quizi  eacoiva.  pero  retulta  importanic  einitir  el 
Informe  dc  auditorfa  tnrocmatlca  de  acucrdo  cor  la  aptlcacion  dc  la  Auditorfa 
Infotmitica  coo  criterion  Alkamcnte  profctiotulct  y  detotimar  lot  procedimientot  dc 
Auditorfa  In  format  ic  a  "crcaliva"  toneando  la  potiblc  "cootammaciAn"  coo  b 
contabilidad  "creativa". 

En  el  prccitado  Libre  Verde  de  Auditorfa  Legal  dc  la  Unidn  Europea  y 
record  ando  la  Directiva  Octata  de  Dcrccho  de  Socicdadet.  te  tcAala  que  el  auditor 
debe  ter  indcpcndicntc.  pero  tAlo  la  FEE  tcAala  que  puede  terfo  de  una  moncra 
objetiva. 


Kt  ilut  trail  to  ret  itar  tcxUulmcntc  el  punto  4.9  del  famoto  Libro  Verde: 
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"En  ados  recientes.  se  ha  mamfcstado  prcocupaodn  sobre  las  amcna/as  que  se 
ciemen  sober  la  indrpcndcncia  dc  los  auditorcs  Van  as  encuctus  indtcan  el  hecho  de 
quc  las  emprcvts  cstin  cada  vez  mis  prcparada*  a  dcsafiar  a  las  auditorcs.  comprar 
cpiaoncs.  buscar  atesoramieMo  legal  sobre  las  opimoncs  dc  I  os  auditorcs  y  a  cambtar 
6c  auditorcs  Algunot  in  formes  concluyen  qoc.  dadas  Us  prcsioocs  competilisas.  seria 
idealisu  asumir  que  lodos  los  auditorcs  aetdan  en  Uxlo  momento  sin  pensar  en  el 
nesgo  de  perdet  clienies.  Sc  ban  mamfesiado  critical  de  que  el  profesionalismo  sc  ha 
dtsminuido  en  favor  de  una  aetttud  mis  de  negocio  ." 

En  fin.  que  como  indscto  del  esiado  del  arte,  c*te  pirrafo  rcsulia  tastantc 

akocionador. 

Navegando  cncrc  definiciones  y  drfimetones.  enctiemro  muy  cxpiicaliva  la  de 
ISACF.  que  dice  asf: 

"La  auditorta  de  sistemas  de  informaetdn  s«  define  como  cualquicr  audiioria  que 
ibnrea  U  revisidn  y  cvaluacidn  dc  lodos  los  aspccios  (o  alguna  secodn/irca)  dc  los 
tistemas  automat  i /ados  dc  procesamicMo  de  U  informncidn.  incluyendo 
procedimienios  rclacionatlos  no  auiomiiicos  y  Us  inienclacioacs  enlre  cllos." 

Crco  que  prtcisa  lo  suficiente  sobre  el  sisiema  informitico.  el  manual  y  sus 
coaeuoncs  para  delimtiar  los  objetisos  de  cobertura  de  un  informe  dc  auditona 
mfocmiixa  que.  ponder  ados  con  los  objetisos  COSO  de  U  Actividad  tie  Tecnologfas 
dr  la  Informacidn  (planes  csiraldgicos.  informacidn  fiable.  adccuada  y  disponible.  y 
sistemas  de  informacidn  disponiblesl.  clanfican  en  forma  ra/onable  las  zonas 
frootenras  con  ottos  lemas  afincs.  par  ahora 

En  nu  opinidn.  Maastricht  esti  acclerando  el  asunto:  unto  es  asf  que  si  Maastncht 
to  etisOCTi  habria  que  insenurlo.  aunque  el  tdrmmo  auditona  tiene  connotaciones  no 
deseaNes  Espero  que  cl  MARC  (Maastncht  Accounting  and  Auditing  Research 
Crater)  tea  un  factor  positive  en  la  auditona  dc  los  sistemas  de  informacidn  y.  pot 
Unto,  en  los  informes  y  su  normativa  Icgal/profcsiona!  correspondiente 


4.8.  LECTURAS  RECOMENDADAS 

Emilio  del  Peso  Navarro.  Miguel  Angel  Ramos  Guruilcz.  Carlos  Manuel  Ecmandez 
Sine  her  y  Maria  lost  Ignoto  Azaustrc  Manuuf  cfe  diciomcnei  y  ptritafts 
mfixmtftkvs.  FUk-iooec  Oiaz  de  darVov.  SA  MadnJ.  [Wf. 

Aguslin  Ldp e*  Casuso.  Normal  de  Auditona .  Como  InlerpretaHas  para  m 
Aplkackm  Editorial  IACJCE.  Madrid.  1995 


Luis  Murto/  Sahaic  T/cnlco  Probatoria:  Estudio  sobrt  las  Dificultadt.s  dr  la  Prutba 
tn  tl  Proctso.  Editorial  Praxis,  S.A.  Barcelona.  1993. 4*  cdicxVi. 

Mary  C,  Bromakc  Los  informts  dt  auditosia  v  su  rfcnica  d<  rrdacckm.  Editorial 
Deuslo.  S.A.  Bilbao.  1989. 

Resiua  SIC  Stguridad  tn  Infomdtica  y  Comunkactonts.  Edicioncs  Coda.  S.L 
Madrid. 

4.9.  CUESTIONES  DE  REPASO 

I .  i.Qo6  difcrcncia  cxistc  cnlrc  evidencia  suficicme  y  evidencia  adccuada? 

2-  iQu£  difcrcncia  cxistc  entre  prueba  dc  cumplimicnto  y  prueba  sustantivo? 

3.  ^Las  nonius  IFAC  son  vincutantex  en  Ktpafta? 

4.  ^Las  nonius  ISACF  son  vinculantcs  en  EspaAa? 

5.  iQirf  difcrcncia  cxistc  entre  opinion  dcsfavorablc  y  op  nirin  denegada? 

6.  ,.Qud  signifies  importance  relativa?.  jj  materialidad? 

7.  ,'.Qutf  sigmficado  licnc  la  rcsponsabilidad  civil  del  auditor  informitica  ermsor 
del  informc  dc  auditoria  informitica  y  firmantc  del  miano? 

8.  jCuil  cs  la  uttlidad  del  documento  denominado  Declaracioncs  dc  U 
DifoccMn? 

9.  iQ»t  difcrcncia  cxistc  entre  experto  informitica  y  auditor  infoonitico? 

10.  iQud  difcrcncia  cxistc  entre  auditor  inicmo  y  auditor  exterao? 
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CAPlTULO  5 


ORGANIZACI6N  DEI.  DEPARTAMENTO 
DE  AUDITORIA  INFORMATICA 


Rafael  Ruano  D(ez 


5.1.  ANTECEDENTES 

F.l  cooccpto  ik  auditona  mf  or  mil  icj  ha  cslodo  xicmpre  ligado  a)  de  auditoria  cn 
general  y  al  de  auditoria  interna  cn  particular.  y  CMc  ha  cttado  umdo  detdc  (tempos 
kritAricox  al  de  contabilidad.  control,  veracidad  dc  opcracioocs.  etc.  Kn  (tempo  de  Ion 
egipcios  ya  sc  haMaha  de  coo  tab*  1 1  dad  y  de  control  dc  kn  registros  y  dc  lot 
epcracioncs  Aun  algunox  hmoriadorex  ftjan  el  nocimicnto  de  la  cscritura  como 
comccuencia  dc  la  ncceudad  de  registrar  y  controlar  operacionct  (Dale  Fiedler.  50 
lean  of  Progreui  Hago  csta  referenda  hiuAnca  a  fin  de  cxplicar  la  evoloddo  de  la 
corti  pero  intenta  htslona  dc  la  auditoria  mformitica.  y  para  que  poitenormente  no\ 
ana  dc  refercncia  al  objeto  dc  entender  las  diferentet  tcndencias  que  cxitfcn  cn  la 
actual  idad. 

Si  anali/amoN  el  nacimiento  y  la  cxittencia  dc  la  auditoria  mformitica  desde  on 
purao  dc  viua  cmpreNarial.  tendremos  que  empe/ar  aiulirando  cl  contexto  organi- 
ntivo  y  ambicntal  cn  cl  que  se  mueve. 

Empc/aremot  diCKitdo  que  tamo  dentro  del  contexto  cstratdgico  como  del 
Opcrttivo  dc  lax  or  gam/ jc  tones  actuates.  kn  xistcmas  dc  informacidn  y  la  arquitcclum 
que  lot  toporia  dcscmpcIVan  un  nnportante  pa  pci  como  uno  dc  kn  sopoetex  hixictn 
piri  la  gettidn  y  cl  control  del  ncgocto.  sicndo  axf  uno  dc  kn  requcrimicntox  bixicot 
de  cualqutcr  organi/acidn.  Esto  da  lugar  a  kn  xistemat  dc  informacidn  dc  una 
ctgutizacido. 

Ex  evidente  que  para  que  die  box  sixtemas  cumplan  tux  objetivos  debe  existir  una 
htKido  de  gextidn  de  die  box  sixtemas.  dc  lot  recurtot  que  lot  manejan  y  dc  las 
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inverttooct  que  sc  poncn  a  disposition  dc  die  hen  recursot  para  que  cl  funcionamicnio 
y  U»  rctultadot  scan  k»  esperados.  lisio  cs  lo  que  llamamot  cl  Depariamento  Jr 
Sixtemax  dc  Information 

linalmeme.  y  cn  funcidn  dc  k>  anterior.  aunque  no  corno  algo  no  cnicramcnte 
accptado  aun.  dchc  cxistir  una  funevon  dc  control  dc  la  gcttion  dc  lot  .xiticmax  y  dd 
departamento  dc  sistcmas  dc  information.  A  csta  funcidn  la  llamamot  audiioria 
informitica. 

til  conccpto  dc  la  funcidn  dc  auditoria  informitica.  cn  algunos  ca tot  llamida 
luncidn  dc  control  mformitico  y  cn  lot  menot.  Ilamada  y  conocida  por  ambot 
timunot.  arranca  cn  tu  coru  histona.  cuando  cn  lo*  aflos  etneuenta  I  at  organizactooct 
empe/aron  a  dcsarrollar  aplicacionct  informitica*  En  etc  momento.  la  auditoria 
tralaba  con  uxtema*  manuale*.  Poxleriormente.  cn  funcido  dc  que  lax  oegani/actonex 
empe/aron  con  tittemat  cada  ves  mi*  compkjox.  *c  hi/o  nccctaho  que  pane  dd 
(rahajo  dc  auditoria  empe/ara  a  frafar  con  sistemas  que  utili/aban  internal 
informiiioo*. 

En  etc  momenta,  lot  equipot  dc  auditoria.  tamo  extemo*  como  internal, 
empe/aron  a  ter  mixtos.  con  tnvolucracidn  dc  auditor?*  in  format  ico*  junto  coo 
auditorc*  linaneicrov  En  c*e  momento  *e  comen/aron  a  utilizar  dot  tiput  dc  enfoque 
diferentes  que  cn  algunos  casos  convcrglan: 

•  Trabajot  cn  lot  que  cl  cquipo  dc  auditoria  informal ica  trabajaha  hajo  do 
programa  dc  trabajo  propto.  aunque  cnuoncando  tut  objetivos  con  lot  dc  I* 
auditoria  financiers;  <«c  era  cl  cato  dc  trabajot  cn  lot  que  sc  revitalxn 
controlc*  gcncrale*  dc  la  inttalacidn  y  conuolet  ctpccfficot  dc  la*  aplicacionct 
bajo  conccptot  dc  rictgo  pero  tiempre  unido  al  hoc  ho  dc  que  cl  cquipo  dc 
auditoria  financier!  utili/aria  c*tc  trahajo  pan  tut  cooclusionc*  genera  let 
tobre  cl  compoocntc  fmancicro  deter  minado. 

•  Revitionet  cn  la*  que  la  auditoria  informitica  contistia  en  la  extraccidn  dc 
informacidn  para  cl  cquipo  dc  auditoria  financicra.  En  ette  cato  cl  cquipo  o 
funcita  dc  auditoria  interna  era  un  exponente  dc  la  nccctidad  dc  Im 
organizacionct  >  depariamentot  dc  auditoria  dc  utili/ar  expert  os  n 
informitica  para  prosecr  al  pertonal  dc  die  ho  depuilamcnto  de  informacK'd 
extraida  del  m sterna  informitico  cuando  la  informacidn  a  auditor  ctlahi 
empe/ando  a  ter  voluminota  y  *c  cstaha  pcrdicndo  la  pitta  dc  edmo  sc  habit 
crcado. 

Etta  tituacidn  convive  hoy  cn  dfa  con  conccptot  mis  actualet  y  novedotot  dc  lo 
que  ct  la  funcidn  y  dc  lo  que  ton  lot  objetivo*  dc  La  auditoria  informitica. 

En  mi  opinion,  y  ct  algo  que  vamot  a  dcsarrollar  a  continuacidn.  la  tcndcncu 
futura  dc  la  auditoria  informitica  radicari  en  lot  tiguieMc*  principtot: 
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1.  Todos  lo*  aoditorrs  imMn  que  icncr  conocimicntos  informiticos  qoc  Ics 
permitan  trahajar  cn  cl  cada  wi  mis  fluctuante  enfomo  de  las  tccnologias  dc 
la  informacidn  denim  dc  las  orgam/aciones  cmprcsarialcx,  cultivates  y 
vociaks. 

2.  F-'ie  aspccto  no  diminari  la  ncccsidad  dc  cspccialtMas  cn  auditoria 
informiuca:  antes  al  contrario.  k»  cspecialisus  necesitarin  cada  vc /  mix. 
unos  conocimicntos  muy  especificos,  qoc  al  igual  qoc  soccdc  cn  cl  entomo  dc 
k>s  sistcmas  dc  informacidn.  k\  permitan  ser  expert  os  cn  las  difetentes  ramas 
dc  la  tecnologia  informatics  corminicac  tones.  redes,  ofimilsca.  corocrcio 
ekctrdnko.  segundad.  gcstkWi  dc  bases  dc  datos.  etc. 

3.  El  auditor  informiuca  dejari  dc  ter  an  profcsional  precede  me  dc  otra  irca. 
con  mi  consiguiente  rtciclado.  para  pasar  a  scr  un  profcsional  formado  y 
titulado  cn  auditoria  informiuca  qoc  tendri  a  so  alcancc  difetentes  medtos  dc 
formacidn.  externa  fundamcnulmcntc.  y  que  tendri  que  formar  una  red  dc 
conocimicntos  compartKlos  con  otros  ptofes*orules.  tanto  cn  vu  orgam/acido 
como  con  profewonaks  dc  otras  orgam/aciones. 

El  futuro  dc  la  auditoria  mformilica  csiara  cn  la  capacidad  dc  cubrir 
akcuadamcnte.  cn  cuanto  a  cxpcocncu  y  especial  i/acido.  todas  las  ircas  dc  los 
asternal  informittcos  y  de  informacidn  dc  una  empresa  y  cn  saber  dc  forma  propta  o 
con  ayuda  interna  y  externa,  adccuarsc  a  los  cambios  que  succdan  cn  la  Tccnologfa  dc 
b  laformacidn  Para  adccuarsc  a  euos  cambras.  cl  auditor  informilioo.  tendri  que 
Mogencrar  su  propia  filosoffa  de  gcsikta  del  cambio 


5.2.  CLASES  Y  TIPOS  DE  AUDITORIA  INFORMATICA 

Como  he  tratado  dc  mcncionar  antcnormcntc.  exiae  una  gran  confusidn  sobre  lo 
que  cs  auditoria  informiuca  y  la  rclaodn  que  ucnc  con  otras  ramas  organi/ativas  dc 
las  emprevas  y  orgam/aciones  Awn  hoy  cn  dta.  si  preguntisemos  a  diferentes  agentes 
rrnpresarialcs  y  socialcs.  nos  comcstarian  con  diferentes  rcspucstas  sobre  lo  que  cs  y 
aoes  auditoria  informiuca. 

Voy  a  (ratar  de  resurmr  Us  diferentes  accpcioncs  dc  auditoria  informiuca  que 
existed  en  nuestro  pais: 

•  Auditoria  informiuca  como  soponc  a  la  auditoria  tradicional.  financtcra.  etc 

•  Auditoria  informiuca  coo  cl  conccpto  anterior,  pero  aAadieodo  U  funetdn  dc 
auditoria  dc  U  funcido  dc  gcuidn  del  entorno  informiuco. 


•  Auditoria  informltica  como  funcido  independent:,  cnfocada  hacia  b 
obtenetdn  do  la  xituacidn  actual  de  un  entomo  dc  mfomaetdo  c  informltico  a 
axpcctox  dc  xeguridad  y  ricxgo.  cficiencu  y  ventodad  c  incegridad. 

•  La.%  accpc  tones  anteriorex  desdc  un  punto  dc  vixta  inlcrno  y  extemo. 

•  Auditoria  como  funcu'n  dc  control  dentro  dc  un  deparumento  dc  xistemax 

Ante  csta  xituacidn  dfjcnmc  exprexar  cull  ex  mi  vixidn  xobre  lo  que  a  y  debe  10 
la  funcidn  dc  auditoria  informltica 


5.3.  FUNCI6N  DE  AUDITORIA  informatica 
5.3.1.  Definicidn 

Extl  daro  a  extax  alturax  que  la  auditoria.  revixidn.  diagrdxlico  y  control  dc  lox 
sistemax  dc  mformacidn  y  dc  lox  xixtemax  informativox  que  xoporian  dxtox  deben 
rcali/adox  por  perxonax  con  cxpericncia  en  amhax  dixeiplinax.  informltica  y  auduoru 
(cn  principle  llamcmox  a  nuextro  amigo  cl  Auditor  Informltico General :  AIG).  A  extu 
yo  lc  aAado  que  ademix  nuextro  amigo  debe  complex ir  xu  formacidn  con 
conocimicnto*  de  gextidti  del  cambio  y  dc  gextidn  empre  canal 

jC6mo  deftnimcM  emonces  a  nuextro  amigo  AIG?  Para  tntar  dc  definir  xu  pcrfil. 
la  definicidn  mix  ex  acta  ex  qui/i  que  ex  un  profexional  dedicado  al  anilixix  de 
sistcmas  dc  informaodo  e  informlticox  que  extl  exprcialwado  en  alguna  de  las 
multiplex  ramax  de  la  auditoria  informltica.  que  ticoc  conocirrientox  gcncralex  dc  ka 
imbitox  en  lox  que.  Cxta  xe  mueve.  que  tiene  conocimientox  emprexarialex  gcncralex.  j 
que  ademix: 

Poxcc  lax  caractcrixticax  necexariax  para  actuar  como  consul  toe  coo  xu  auditado. 
dlndote  ideax  de  c6mo  enfocar  la  conxtruccidn  de  lox  elementox  de  control  y  de 
gexodo  que  le  scan  propiox. 

Y  que  puexlc  actuar  como  consejero  con  la  organiracidn  en  la  que  extl 
dcMirolUndo  «i  labor.  Un  cnxomo  informilko  bkn  eontrolad*.  pwcxk  *cf  un  xntoroo 
ineficientc  xi  no  ex  conxixtcntc  con  lox  objetivo*  de  la  organi/acidn 

El  elerno  problema  que  «  ha  xuxeitado  durante  mucho  tiempo  ex  xi  cl  auditor 
informltico.  al  no  extxtir  ul  formacidn  acaddmica  en  nuextro  pstfx.  tenia  que  xcr  un 
auditor  conveitido  en  informltica.  o  por  cl  contrario  un  infornitico  rrciclado  coroo 
auditor  informltico.  En  mi  lirga  expencncia.  he  x-isto  tie  todo.  personal  de  desarroilo 
o  de  explotacidn  cooven kIos  en  auditorex  informltico*  cn  men**  dc  un  mcx.  auditorex 
financicrox  rccicladox.  pnmero  como  extract orex  de  infotnacidn.  mcdiantc  la 
formacidn  cn  cl  adecuado  software  de  interrogacidn  de  arch. vox.  y  poxtcnormcnic 
convertidox  en  auditorex  de  la  funcidn  informltica. 
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bn  ambot  c atot.  lot  exitot  >  lot  fracatot  te  acumulabon  poe  igual.  ,.Ok  hacer 
ettot  catot?  iCttU  debe  ter  el  perfil  conccto  tic  un  auditor  informitko?  f.Ma  et 
‘tuba  y  opt n n'm  del  perfil  del  futuro  auditor  informiiieo  >  contecucnicmenic  de 
funoortet  que  la  funcidn  de  auditoria  informitica  debe  tener. 


5.3.2.  Perfiles  profesionales  de  la  funcidn  de  Auditoria 
InformAtica 

A  lenof  de  k>  que  be  mm  dkho  hatta  ahora.  te  ve  claramente  que  cl  auditor 
mformAtico  debe  ter  una  pertona  con  un  alto  grado  de  calificactdn  tdcnica  y  al  miuno 
Ottnpo  ettar  mtegrado  cn  lat  com cmet  orgam/ativat  empretanalct  que  tmperan  boy 
en  dta  De  etu  forma,  dentro  de  la  funetta  de  auditorfa  tnformilica.  te  dehen 
cootemplar  lat  tiguienlet  caractcrfvttcat  para  mantener  un  perfil  profcuonal  adecuado 
yactualirado: 

L  La  pertona  o  pertonat  que  intcgrcn  etu  functor  deben  contemplar  cn  hi 
formactoi  b&tica  una  mercla  de  conoctmieniot  de  auditoria  financicra  y  de 
inform4tica  general.  Em  os  dltimot  deben  contemplar  conocimientos  htacot 
cn  cuanto  a: 

•  Dcsarrollo  informirico:  gettidn  de  proyectot  y  del  ciclo  de  vida  de  un 
proyecto  de  detarrollo. 

•  Gcttidn  del  de  portamento  de  tictemat 

•  Anilittt  de  net  got  en  un  cnlonw  informfctco. 

•  Sittcma  operativo  (ette  atpecto  depended  de  variot  factorev  pero 
pnncipalmente  deuvia  trabajar  en  un  entomo  tinico  -auditor  intemo  o. 
por  el  coiMraho.  va  a  tener  potibilidadet  de  trabajar  en  variot  eniontot 
como  auditor  externo). 

•  Telecomunicacionet. 

•  Getttot  de  hates  de  datot. 

•  Rcdct  locates. 

•  Scguridad  fftica. 

•  Operacionc*  y  p'.amfkactoi  informiuca:  efectividad  de  lat  opcracionet  y 
del  rendimiento  de  lot  uuemat 

•  Getiidn  de  la  seguridad  de  lot  tittemat  y  de  la  continuidad  cmpretarial  a 
travel  de  planet  de  contingencia  de  la  infocmactoL 

•  Getltoi  de  probiemat  y  de  cambiot  en  emomot  informibcot. 

•  Administracidn  de  datot. 


ns 
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•  Ofimitica 

•  Commio  ctoctrfoico. 

•  Encript  acidn  de  datov 

2.  A  etiot  conocimicMot  biticot  te  let  dehrrd  aAadir  una  ctpcculizacidei  a 
funciOo  de  b  importancu  ecoesOmica  que  dittintot  componentet  financiaM 
poctbn  lener  cn  un  entomo  empretanal  Ad.  en  un  etiomo  fnunctcro  pucda 
lener  mocha  important  ij  b\  comunicaciooct.  y  ten  necctano  que  jIjuki 
dcniro  de  b  funcidn  de  audiloeu  informilica  Ictiga  c.ta  etpccializaci6n.  poo 
e»to  miuno  pucde  no  ter  vilido  para  un  entorno  productivo  en  cl  que  la 
tfiiMCocno  HOI  pucden  ter  mb  importantcv 

3.  Uno  dc  lot  probiema*  que  mit  tun  inodtdo  cn  la  ctcata  prctencia  de 
auditorct  informilKot  en  nucttro  pait.  ct  quizit  U  a  vecet  ctcata  rcbcirit 
enire  el  trabajo  de  auditoha  informilica  y  Ut  conclutionet  coo  el  eoiorro 
empretanal  donde  te  uhtcaha  la  "crUidad  audilada-.  boa  scntacidn  de  que  ht 
normal  van  por  Mtiot  difcrcmet  de  por  donde  va  c  ncgocio  ha  tido  frua 
mochas  vecet  de  la  ctcata  comumcacion  entre  el  audilado  (objctivct 
cmprc  tana  let)  y  el  auditor  (obfctivot  de  control).  Ccmo  quicra  que  U  crudi 
realidad  not  etii  dcmostrando  en  la  actual tdad  cada  tea  mat  la  necctidad  dc 
cada  vez  mayor  control  en  lot  title  mat  de  informacide.  te  hace  necctano  pan 
cl  auditor  informinco  coooccr  tec  meat  de  gettibn  empretanal.  y  tobre  lododc 
gettidn  del  cambto.  ya  que  lat  rccomcndaoooct  y  solucionct  que  te  apertes 
deben  ctur  en  U  Ifnra  de  U  bdtqueda  Optima  de  U  mejor  tolucidn  para  lot 
objetivot  empretanalet  que  te  pertiguen  y  con  lot  rcctrtot  que  sc  ticnen. 

4.  El  auditor  informitico  debe  lener  tiempre  el  concrpto  de  Calidad  Toul 
Como  parte  dc  un  coleclivo  empretanal.  bicn  tea  permancnlemente  como 
auditor  intemo  o  puntualmente  como  auditor  ettemo.  cl  eonccpto  de  calidad 
tout  hard  que  tut  conclutionet  y  trabajo  tea  recooexido  como  un  cleraccco 
talioto  dentro  dc  U  organizat  ion  y  que  lot  rrtullados  scan  accptadot  en  uj 
totalidad  Etta  apiicacidn  orgam/ativa  debe  hater  que  la  propia  imagers  del 
auditor  informitico  tea  mit  rtconocida  dc  forma  potitiva  por  U  organization 


5.3.3.  Funciones  a  dcsarrollar  por  la  funcidn  de  Auditoria 
Informdtica 

Se  ban  tutcitado  multiples  cuntrovcrtiat  tobre  lat  furxioncs  a  detarrollar  en 
suanto  al  trabajo  de  Auditorfa  Infoeinitsc a  que  te  debe  realizar  ,\Cu4l  ct  el  objetivo  de 
una  Auditorfa  Informilica?  tQuf  te  debe  revitar.  analizar  o  diajnotticar? 
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tPuede  U  funcidn  de  Auditoria  Intormitica  aporur  16I0  lo  quc  Ic  pi  den  o  dchc 
fomuc  pane  de  un  entc  orgam/atixo  toUl.  lo  quc  Ic  cxige  una  actitud  de  conthbuodn 
toul  jI  entorno  cmprcxarial  cn  el  que  cxti  reali/ando  hi  trahujo?  En  definin' a.  ,.que 
tipcctox  dchc  rcMsar  cl  auditor  informiiico*  Debe  rcvisar  la  scguridad,  el  control 
interno.  la  efectividad,  la  gcxtido  del  cambto  y  la  intcgndad  de  la  informacidn. 

Si  anali/amos  la  rralidad  mix  actual,  dircmox  quc  la  funcidn  Auditoria 
Informitica  debe  mantener  cn  la  medida  de  lo  poviblc  lox  objetivox  de  revixidn  que  Ic 
demode  la  urgani/acidn.  pero  como  exto  ex  muy  general,  'amox  a  preeixar  algo  mix 
lo  que  vena  un  cm  onto  ideal  que  tiene  que  xcr  auditado 

Supongamox  una  orgamracton  quc  produce  compooentex  tecnoldgicox  de  audio  y 
»<deo  tamo  en  formalo  primarto  como  en  product o  xemiierminado  >  terminado.  Exta 
organi/acidn  mantiene  xux  programax  y  rexultadox  de  inx-cxtigacidn  bajo  control 
infomltico  Ademlx  tiene  lax  caractcrixticax  propias  de  cualquicr  emprexa  productora 
y  comercial  cn  ctianto  a  u  He  max  de  informacidn  Manuene  en  Internet  un  xixtema  de 
informacidn  de  xux  product  ox  con  la  poxibilidad  de  que  uxuanox  de  la  Red  puedan 
hacer  conxultax  vohre  diferentex  caractcnxticax  de  k>x  product  ox  Gaxu  anualmente  un 
uno  por  ciemo  de  xu  facturacidn  en  xux  uxtemax  de  informacidn  y  un  diet  por  ciento 
a  insestigacidn. 

iCuilex  xerfan  lot  objetivox  de  revixidn  de  la  Auditoria  Informitica  cn  exte 
cjctnplo?  Dexdc  luego  porcce  que  la  Auditoria  Informitica  deberia  cnfocarxe  hacra 
aspect  ox  de  tegundad.  de  cometci o  clectrdmco  y  de  control  interne  en  general, 
aladiendo  cn  funcidn  de  lo  expuexto  cn  cuamo  al  gaxto  anual  quc  deberia  reali/arxe 
ana  texisidn  de  la  efectividad  del  departamento. 

Esto  nox  mdic a  quc  xolamcntc  con  un  cjemplo  simple  vemox  quc  la  Auditoria 
Informiticj  abarca  campoa  de  revixidn  mix  alii  de  lot  que  tradictonalmentc  xe  han 
mantemdo.  exto  ex.  la  revisida  del  control  interno  informiiico  de  lot  terxiciox 
ceatralex  y  de  lax  aplicaciooex 

FJ  mundo  comptejo  dc  lax  emprexax  en  el  que  nox  movemox,  con  induxtriax 
cacrgcntrx  y  con  una  tendcncia  global uadora  cn  lox  negociox,  hace  muy  neccxaho 
que  kn  xixtemax  de  control  interno  scan  lo  mix  efectixox  poxiblcx.  pero  tambidn 
ojneeptox  mix  ampliox.  como  cl  hexgo  de  la  informacidn.  la  continuidad  de  lax 
operaciones,  la  gextidn  del  centra  de  informacidn  o  la  efectividad  y  actual  i/acidn  dc 
hi  inxerxionex  realuadax  ton  neccxahas  para  poder  mantener  el  nivcl  compctiti'o  quc 
el  mundo  emprcxarial  demanda  a  xux  xixtemax  de  informacidn. 

Ex  avi  quc  cntonccs  la  funcidn  de  Auditoria  Informitica  debe  rcalirar  un  amplio 
itunico  de  actividadex  objetivas.  algunax  de  lax  cualex  enumero  a  continuacidn 
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■  Vcnficactdo  del  control  intcroo.  tamo  dc  las  aplicacsnnes  como  de  kn 
\htemas  informiticot.  centrales  y  pcriftricot. 

•  Anllius  de  la  gestidn  de  lot  sitienui  dc  informacidn  detdc  un  punto  de  vitta 
de  rietgo  de  tegundad.  de  gettidn  y  de  cfcctividad  de  la  gettidn. 

•  Anilish  de  U  integridad.  liafeilutad  y  ccitc/a  dc  la  informacidn  a  travdt  del 
anil  teas  de  tat  apltcaciooct  Hsu  funcidn.  que  ta  vienen  dcscmpefUndu  lot 
aixlitoret  informiticot.  etiin  empe/ando  ya  a  detarrollarla  lot  auditorct 
fmancierot. 

•  Auditorta  del  nesgo  opcrativo  de  lot  circuitot  dc  informacidn. 

•  Anilttas  de  ta  gcuidn  de  lot  net  go*  de  ta  information  y  de  ta  tegundad 
impllciu. 

•  Vcriftcacidn  del  nivel  de  continuidad  de  I  at  operaoooct  (a  realiur 
conjuntamente  con  lot  auditorct  financicrot). 

•  Anilitit  del  Estado  del  Arte  tecnoldgico  dc  ta  intubcidn  revttada  y  de  la 
consecuencias  cmprctanalct  que  un  detfatc  tecnoldgico  pueda  acarrear. 

•  Diagndttico  tobre  el  grado  de  cobcnura  que  dan  tat  apltcacionct  a  lat 
nccetidadet  ctireldgkat  y  operative  de  mformacida  de  ta  orgamucidn. 

1:1  papcl  de  1a  auditorfa  informluca  te  conviate  de  etta  manera  en  algo  mit  que 
ta  clitica  dcfinicidn  del  auditor  informitico: 

"...  el  auditor  informitico  et  retpoo table  para  etublcca  lot  ofeyclivot  de  control 
que  rcduzcan  o  etinunen  ta  capoticidn  al  nctgo  de  control  intemo.  IV'pudt  de  que 
lot  objeuvot  de  ta  auditorfa  sc  hayan  etuMecido.  el  auditor  defee  revisar  lot  controlet 
y  evaluar  lot  rcsultadon  de  ui  revitidn  pore  detemunar  lat  ire  at  que  requicraa 
comedones  o  tnejoret " 

Aun  a  netgo  de  ta  cnlicado  por  muchot  de  mit  compaAerot.  crco  que  cl  papel 
del  auditor  informitico  tiene  que  dejar  de  ta  el  de  un  profctional  cuya  dnica  meu 
cmptcsarial  tea  anali/ar  el  grade  de  implantacidn  y  cumplimiento  del  control  intemo. 
I -at  organt/uc  tones  ettin  inviniendo  muefeo  dinero  cn  titiemat  dc  informacidn.  cad* 
vez  ton  mit  dependicniet  de  clloa  y  no  pueden  pemuUrte  el  lujo  de  tener  boenot 
profesionalc*.  que  ettafean  median/ado*  por  etquemat  que  cran  vilidot  hace  unot 
ados  pero  que  en  ctlos  mo  memos  no  lo  ton  a  tenor  de  tat  nccetidadet  cmprctanalct 
HI  conccpro  de  control  mterno  et  important isi mo.  pero  ademis  de  vcrificar  dicho 
control,  el  auditor  intemo  tiene  ta  obligacidn  de  convenirte  un  poco  en  contulior  y  cn 
ayuda  del  audnado.  dindoSc  ideas  de  edmo  cttafelecer  procedimientot  dc  teguridad. 
control  intemo.  cfectividad  y  cficacia  y  mediddn  del  riesgo  onprctanal. 
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5.4.  ORGANIZACION  DE  LA  FUNCION  DE  AUDITORIA 

informAtica 

Segiin  lo  que  hemo*  comentado  hatla  ahora,  la  funcidn  de  auditin'*  informitica 
ha  pasado  de  xr  urta  futvodn  moramcnte  de  ayuda  a]  auditor  financicro  a  xr  una 
fcucidn  quc  dcvanolU  un  tnhajo  y  lo  xguiri  haocndo  cn  cl  fuiuro.  mis  acocdc  con  la 
uportancia  quc  para  las  organizacionct  ticncn  lot  title  mas  informiticot  y  dc 
nfcrmacidn  quc  ton  *u  objeto  dc  ettudio  y  anil i tit  hi  auditor  informitico  pata  a  xr 
aadrtor  y  coo  suitor  del  rate  cmpresarial.  cn  d  quc  va  a  ter  analista.  auditor  y  ax  tor  cn 
■uterus  dc 

•  Segurvdad 

•  Control  i  Me  mo  operant o 

•  Eficicncia  y  cficacia 

•  Tecnologfa  informitica 

•  Continuidad  dc  opcraciones 

•  Gettidn  de  rxsgot 

so  tolamcntc  dc  lot  taticmat  mformiticot  objelo  dc  tu  ettudio.  uno  d:  las  rclacionet 
e  implicac  tones  operatises  quc  die  hot  taticmat  tienra  cn  cl  cocuexto  cn  prrtarial 

Coo  esla  amplitud  dc  mint.  tc6cno  x  va  a  orgam/ar  la  funcu'n  dralro  de  la 
caprcta’  Rati  claro  quc  cn  ette  cato  estamot  haNando  de  una  funcidn  intema  dc 
auditixia  inlormitK  a 

La  conccpcidn  lipKi  que  he  virto  cn  las  empreta*  ctpaAolat  hatla  ahora.  ct  la  dc 
quc  la  funcidn  de  auditoria  informitica  etti  ratroocada  dentro  de  lo  que  ct  la  funcidn 
de  auditoria  intema  con  ran  go  de  tubdcparumcnco.  Ivsu  conccpcidt  x  beta  cn  cl 
aacimicMo  hmdnco  dc  la  auditoria  informitica  y  cn  la  dificuliad  dc  teparar  cl 
elflncMo  informitico  dc  lo  que  ct  la  auditoria  opentiva  y  finarxicra.  al  igual  que  lo  ct 
Kpinr  la  opentiva  dc  una  empreta  dc  lot  tittemat  dc  uiformacidn  quc  lot  toponan 

Si  voltcmot  a  mi  axvcncidn  anterior  tobre  cl  papcl  quc  debt  dexmpeflar  cl 
jndrtor  informitico  dentro  de  un  conlcxto  cmprctanal.  la  organi/acidn  tipo  dc  la 
auditoria  informitica.  debc  contcmplar  cn  mi  opinion  lot  tiguientet  priscip«os 

•  Su  localization  puede  ctur  ligada  a  la  localizacidn  dc  la  auditoria  intema 
opentiva  y  financier*,  pero  con  indcpendencia  dc  objetivot  (atnquc  haya  uiu 
coordination  lOgica  entre  ambot  depanamentot).  dc  planet  dc  formation  y  de 
prctupuctiot. 
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•  La  organiracidn  opcratna  ttpo  debe  ser  la  de  un  grupo  mdependicMC  del  6c 
audiloria  interna.  con  una  acccsibilidad  loul  a  los  stttcina*  infurmilkos  y  de 
information.  c  ideal menic  dcpcndicndo  de  la  misma  persona  cn  la  cmpreta 
quc  la  auditoria  interna.  quc  dcberia  ter  el  director  general  o  comejem 
delegado.  Cualquicr  otra  depcndcncia  pticdc  dar  al  trade  con  la  imagca  del 
auditor  informitico  y  consecucntcmcnte  con  la  accptacidn  de  ui  trabajo  y  dt 
mm  coocluxionct. 

I  j  dcpendencta.  en  todo  cato.  debe  ter  del  mix i mo  rcsponsablc  operativo  de  b 
organization.  nunca  del  dcpartamcnto  de  organization  o  del  de  uviemas  (abundan  lot 
catos  en  quc  ccta  depcndcncia  existc).  m  del  depart  amen  lo  fin. macro  yto 
administratis  o. 

La  gestidn  dc  la  funcidn.  cn  la  medida  dc  quc  cxivta  la  cxpcncncia.  debe  tet 
llevada  a  cabo  por  personal  quc  haya  o  ctld  trahajando  cn  audiloria  informitica. 

Lot  recurxot  hununot  con  lot  quc  debe  coetlar  cl  dcpartamcnto  deben  contcmpbr 
una  mc/cla  cquilibrada  cnlrc  pertonat  con  formacidn  cn  audiloria  y  organization  y 
personas  con  perfil  infonniiico.  No  obstante,  cste  pcrtil  gendneo  debe  scr  l  rat  ado  coo 
un  amplio  programa  de  formacidn  en  dondc  sc  cspcciftquen  no  sdto  los  objetivot  de  b 
funcidn.  sino  tambidn  dc  la  persona. 

•  Estc  personal  debe  contcmplar  entre  su  titulacidn  la  de  CISA  como  sa 
elemento  bisico  para  comcnrar  su  carrera  como  auditor  informinco 

•  La  organi/acidn  interna  tipo  dc  la  funcidn  podria  ter. 

-  Jcfe  del  departamento.  Detarrolla  el  plan  operaiito  del  departamento.  Ut 
descripcione*  de  los  pocslos  de  trabajo  del  personal  a  *u  cargo,  lat 
plamficaciooct  de  actuacidn  a  un  ado.  los  mdtodot  de  gestidn  del  cambto 
en  su  funcidn  y  lot  programas  de  formacidn  individualirados.  axf  como 
gestiona  lot  programat  dc  trabajo  y  los  trabajot  en  sf.  los  cambios  en  lot 
mdtodos  de  trabajo  y  cvaltia  la  capacidad  dc  las  personas  a  vu  cargo 

-  Gerentc  o  supervisor  dc  audiloria  informitica.  Trabaja  ettrcchamcnte  con 
cl  Jcfe  del  departamento  en  lat  (areas  operativat  dianat  Ayuda  en  li 
evaluation  del  riesgo  de  cada  uno  de  los  trabajot.  reali/a  Ion  programat  de 
trabajo.  dirige  y  supervita  drrectamente  a  las  personas  en  cada  uno  de  lot 
trabajot  de  lot  quc  cs  responsible  Rcali/a  la  formacidn  tobre  el  trabajo 
Es  responsablc  junto  con  su  jcfe  de  la  obccnctdn  del  ntejor  rrtultado  del 
trabajo  para  cl  auditado.  entroncando  los  concept  os  de  valor  aftadido  y 
gestidn  del  cambto  dentro  de  su  trabajo.  Es  el  que  mis  "vende"  la  funcidn 
con  el  auditado. 
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-  Auditor  informitko.  Son  rcsponsjblcs  pari  la  ejccucidn  direcu  del 
trahajo  Deben  tcncr  uni  csprculi/aciOo  gcnenca,  pern  UinMn  una 
cspecffica.  sc  gun  se  comentO  antenormentc.  Su  trabajo  con&isUri  en  la 
obtcrxiOo  de  information.  rralt/aciOn  de  prochiv  documentation  del 
trabajo.  evaluation  >  diagnostic  o  de  rcsultados 

•  El  lamaAo  vOk>  sc  puede  precivar  cn  funciOn  de  los  obyctivos  de  la  funciOn. 
pero  en  mi  opimOn.  para  una  organisation  lipo,  el  abanico  de 
revponvabilidadev  dcberii  cubnr. 

-  FapccialisU  en  el  entocno  mformiuco  a  audiiar  y  en  gcvuOn  de  buses  de 
dates. 

Eapocialisu  cn  comunicac  tones  y/o  mitt. 

Responsible  de  gestiOn  de  nesgo  operative  y  aplicacioncs 

-  Responsible  de  la  auditoria  de  title  mas  de  information,  unto  cn 
explotaciOn  como  en  detarroilo 

-  En  mi  caso.  espcculisra  para  la  elaboration  de  programas  de  trabajo 
con  juntos  con  la  Auditoria  Financier!. 

5.5.  CUESTIONES  DE  REPASO 

1 .  ,.Cuiles  son  las  Ifncas  de  evolution  de  la  Auditoria  Informitica? 

2.  iQut  diferentes  aceptioncs  cxitien  de  la  Auditoria  InformitKa? 

3.  iCull  et  el  perftl  del  auditor  informitKo  general? 

4.  iQot  formation  debe  poster  el  auditor  informitico? 

5.  tCu4les  son  las  funciooes  de  la  Auditoria  Informiuca? 

6.  iQuO  aspect  os  pueden  hater  mis  compteya.  cn  la  actual  idad.  la  funciOn  de 
Auditoria  Informiuca? 

7.  jCuil  debe  ter  la  localiuciOn  dc  la  funciOn  de  Auditorfa  Informitica  en  la 
empresa? 

8.  ,.Cuile»  ton  las  ureas  del  )efc  del  De  portamento  de  Auditoria  Informitica? 

9.  lamaAo  debe  tcncr  el  Dcparumcnto  de  Auditoria  Informiuca? 

10.  Defina  un  plan  de  formation  para  que  on  mformiUco  pueda  desempertar  sin 
problcmas  la  funciOn  de  auditor 
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EL  MARCO  JURIDICO  DE  LA 
ALDITORfA  INFORMATICA 


Emilio  del  Peso  Navarro 

8.1.  INTRODUCCION 

Lot  efectot  dc  la  incorporacidn  a  nucttra  Socicdad  cn  un  pnncipio  dc  la 
bfcrmitica.  pottcnormcnic  dc  la  Tclcmfcica  y  ca  la  actualtdad  dc  lo  quc  tc  vicnc 
denommando  Nucvat  Tccnologias  dc  la  Information  y  tat  Comunicacionct.  han 
matformado  Crta  y  cl  fuiuro  quc  sc  sishimbra  ct  quc  cl  cambro  ha  dc  ter  aun  mayor. 

La  transformation  ha  operado  cn  lodot  lot  Ordcnct  dc  la  vida  tamo  public  os 
como  phvadot.  profctionalcs  y  ponicularcv  La  forma  dc  vida  ha  cam bi ado 
radical  mente  y  no  hemot  hccho  mis  quc  empezar 

Concept  os  un  anaigados  como  cl  dc  trabajo  (cncmot  quc  empe/ar  a 

conlrmfUrlos  dr  otn  maim.  •  incluws  la  forma  dc  dnrflimm  mtctlns  ncio.  Umhtcn 

ha  quedado  afcctado. 

Euan  nucvat  tecnologfas  han  inodido  cn  el  Derocho  desdc  dot  pcrtpcctivat: 

I*  Contcmplar  ettat  nucvat  trcoologias  como  una  hcnamicnta  del  operador 
jurtdico  dc  forma  porecida  a  como  ayudan  a  otrns  peofcsionales  arquitcctos. 
medicos,  etc.,  lo  que  da  lugar  a  la  Informilica  Jurithca. 

2*  listudiar  v  anali/ar  ctUt  nucvat  tccnologfat  como  un  objelo  mis  del 
Orrccho.  lo  quc  hacc  c merger  una  rama  nueva  del  nnsmo:  cl  Dcrccho 
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Informitico  o  Derccho  dc  las  Noevas  Tcvnologfat  <le  U  Informacida  >  In 
Comunicacionc*. 

Esta  dicotomu  la  'olvatlBM  a  vet  despot*  cuando  cstudiciTias  la  coiurtueito. 
cn  la  que  nos  encontrarcmos  con  un  tipo  de  contratacidn.  la  clcctrdnka  o  por  racdn 
elcvtrtSnKOs.  y  con  ocro.  la  infoemitica 

La  Informiiica  Jurfdica  la  podemox  coMcmplar  desde  tree  catcgoefas  diferentes': 

1.  la  Informiiica  Juridtca  de  Gestidn  que  se  presrnla  cornu  un  efcat 
instnimcmo  en  la  tramitackn  de  las  proccdimientos  judicialcx.  cn  b 
adminislracsdn  de  I  os  dcspachos  de  abogados.  procur adores.  notaries.  etc. 

2.  I  j  Informiiica  Juridka  Documental  que  cs  la  utili/acida  de  la  Informitka 
pc»i a  laciliiar  cl  almaccnamtcMo  de  cnormcx  volumcnes  de  datos  relatives  i 
Legislation.  Junsprudcncta  y  Doctnna.  con  el  fin  dc  permitir  postcriormcek 
el  acceso  a  la  miuna  de  una  forma  ficil.  ripula  y  segura. 

3.  lei  Informiiica  Juridka  Decisional,  por  ultimo,  cs  la  utiliraci6n  dc  It 
Informiiica  como  un  insinimeMo  para  ayudar  a  La  loma  dc  decisiones.  Tal  a 
el  caso  de  kw  jucces  ante  las  seniencias.  r.sti  batada.  principalmcntc.  <a 
kcntcas  dc  la  dcnominada  "intcligcncsa  artificial”  con  cl  empleo  de  sisicmn 
expert  os  y  herramkntas  similarcs. 

El  Derccho  Informitico.  a  dtfcrcncta  de  la  Informiiica  Jurfdica,  cs  aquclla  pane 
del  Derccho  que  rcgula  cl  mundo  informitico  evitando  que  se  convictta  en  una  jungb 
domic  srempre  sale  ganando  cl  mis  fuerte.  Fruto  del  mismo  son:  la  protcccidn  de 
datos  personalcs.  la  proteccidn  juridka  de  los  programas  dc  computador.  los  dcliUM 
inlormitK-os.  cl  documcnto  clectronico.  el  comercio  elcctrdnko.  y  la  conlratando 
ckctrdnka  e  informiiica  cnlrc  otras  matcrias. 

El  auditor  informitico.  si  qukre  realirar  bkn  su  labor  y  a  la  vcz  evitar  situaoones 
dcsagradables  y  un  tanto  peligrosas.  csli  oMigado  a  conoccr  esta  rama  del  Derccho, 
pttes  es  la  que  rcgula  cl  objeto  de  su  trabajo.  Dcsconocer  las  normas  que  regulan  U 
proteccidn  de  los  datos  personalcs.  la  piratcria  sic  los  programas  sic  computador.  Its 
obi i gac  tones  eontractuales.  los  delitos  informilicos.  las  responsabilidadcs  civiles  j 
pc  rules  cn  que  puede  incurrir  poetic  icncr  consecstencias  graves  si.  como  es  fieri  que 
ocurra.  dkhas  circunstancias  sc  presentan  en  el  cMomo  en  que  trahaja. 


Par*  mb.  ■fcnu.Vm  EMILIO  DEL  PESO  NAVARRO  y  MIGUEL  ANGEL  RAMOS 
GONZALEZ  CtmfUn KiahAad  *  U  imfonmarUn.  to  IjORTAD  »  »  imptmtcumfl 
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Si  exanunamox  dichux  normn  claramentc  vcremox  que  todax  cllix  verxan  xofcec 
w  dexerminado  hien  juridtco:  U  infoemacion 

La  infonnaciOo  ha  x*do  un  bicn  valtoso  cn  todax  lax  fpocax.  pcro  en  ningunj 
h»hU  akanzado  la  importance  que  Hene  en  cl  momcnto  actual  en  cl  que  ficilmcnee  xc 
cooMcrte  en  conocinucnto. 

En  el  paxado  no  exiula  la  poxiNlidad.  coma  ocune  ahora,  de  oonvertu 
informacioncx  parciakx  y  dixpcrxax  en  infotmaciooex  en  maxa  >  organi/adax 

La  aplicacidn  conjunta  dc  la  Informitica  y  lax  Telecomunicacionex,  |o  quo  xc  ha 
*tn>do  en  denominar  Telematica.  en  la  priclica  ha  hecho  dcxaparccer  k*x  (aciorcx 
Octapo  y  expacio 

Para  DAVARA  RODRIGUE/':  "/a  mformactdn  ft  un  bttn  (jut  limr  moi 
taractfrtsticas  drttrminadat  y  dtttmunanttt  tt.  no  cake  duda  un  birn  ftondmico. 
f*ro  drfrrtnlf  a  lot  dtmdt  btmes  rconomttot  ftlttfnlfi  en  un  mtrtodf  traditional " 
hKrfka  lo  anterior  en  lax  xiguientex  afirmacionex 

I*  Sc  trata  de  un  bten  quo  no  vc  a  goes  con  el  conxumo 

2*  Kx  un  h*en  que  puede  xer  utili/ado  por  numeroxax  penonax  a  U  ve/ 

y  Ex  la  haxc  del  doairvllo  dc  la  nueva  tocicdad. 

Ex  el  xehlculo  que  circula  por  lax  autopxxux  de  la  informacvSn. 

Para  dcfmir  exte  ccmjunto  de  circunxtanctax  en  el  que  nox  movemoxxe  ha  acuhado 
el  tfmno  Socicdad  de  la  infornucidn. 

La  utformacxdn  puede  xer  muy  vanada.  como  xeremox  a  continuaodo.  y  no  toda 
db  wele  tenet  el  miuno  valor. 


6i  U  PROTECCIbN  DE  datos  de  caracter  personal 

□  aiikxilu  18.4  dc  nucMia  ConxdtuvlOn  cinpla/a  al  Icgtxlador  a  llruiar  el  uxo  de 
li  mfotmkica  para  garantizar  el  honor,  la  intinudad  personal  y  ftmiltar  de  xux 
dadadanox  y  el  leglumo  cjcrcxcio  de  xux  dcrechov 

Fnito  de  exte  mandaio  conxtitucional  fue  la  promulgacidn  de  la  Ley  Orginica 
V1992  de  29  de  oclubre  de  Rcgulacidn  del  Tratamiento  Automati/ado  ce  I  ox  Datox  de 
arkxer  personal  (I.ORTAD).  Se  trata  de  una  ley  de  lax  que  en  cl  Dcrecho 


!  MJGVEL  ANGKL  DAVARA  ROOtUGLEZ  /*  bu  <u*yxuu<  de  ta  mformaaAn  a  L,  mU 
■Ml  kntaub.Yim&*a.\'¥*>.vti ». 
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Comparado  sc  vtcnen  dcnominando  leycs  dc  protcccidn  dc  dates,  aunqoe  cn  realidad  j 
mi  ohjeio  no  tea  la  peotcccidn  dc  lot  dale*  kino  la  proicccidn  dc  la  inrimidod  y  U  * 
pntut  tJttd iVc  Ut  personas  tilularcs  dc  ctot  daiot. 

Hn  la  Expoucidn  dc  Morisot  dc  la  Ley  tc  hacc  uru  iMcrcsante  dirtincidn  entre  b 
que  cl  legitlador  cnticndc  por  mumidad  y  por  privacidad- 

Con  independence  dc  qoc  muchot  autore*  hasia  ah  ora  no  had an  ditlinoOo  cent 
intimidad  y  el  angliciuno  pmncidad  tc  cmpicra  a  haccr  corxespondcr  aquella  con  let 
derevhot  delcndidot  cn  lot  ires  pnmerot  puniot  del  ortkulo  18  dc  la  Continucidn.  j  It 
phntcidod.  cnicndida  como  el  dcrccho  a  la  aulodctcraunacidn  informant*,  con  d 
porno  4. 

Ij»  Ley  Orgintca  15/1999.  dc  13  dc  cncro  <LOPO)  dc  Proieccion  dc  Daiot  dr 
Caracicr  Personal,  dcroga  la  1.0RTAD.  Tanlo  la  I.ORTAD  como  la  LOPD  tc  mtpina 
en  Um  tiguienlct  principles: 

Principio  dv  finalidad.  Antes  dc  la  ctcacido  dc  un  archive  dc  dal  os  dc  car  lew 
personal'  ha  dc  conoccrsc  cl  fin  del  mitmo  (art.  4.1). 

bstc  principto.  a  su  vez.  cngloha  oirot  dot:  cl  principio  dc  penmen cia  y  cl  de 
utiliacidn  abusiva. 

Principio  de  pertinent ia  (art.  4.1).  Los  datot  deben  ter  pertinent  cs.  ct  dear 
esur  rdacionadot  con  cl  fin  perse  guide  al  crcarve  cl  archive. 

Principio  dc  utUiaacidn  abusiva  (art.  4.2 1.  l.o\  daiot  recogidot  no  dehen  Kt 
utili/ados  para  ouo  fin  dislimo  a  aquel  para  cl  que  fucron  recatadot. 

Principio  de  cxactitud  (art.  4J  y  4.41.  El  respon sable  del  archive  debe  poncr  lot 
rncdios  nccctanot  para  comprohar  la  cxaciitad  de  lot  daiot  regislradot  y  asegurar  n 
puctla  al  dia. 

Principio  de  derccho  al  olsldo  (art.  4.5).  Los  dales  deberan  dctaparcccr  dd 
archive  una  vc z  tc  luya  cumplido  cl  tin  pan  cl  qoc  lucron  rccahados. 

Principio  del  conscnlimienlo  (art.  6).  El  Iratamicnlo  auiomati/ado  dc  k»  data 
rcquenr.i  el  contcnlimienlo  del  afectado.  sal  so  qoc  la  Ixy  disponga  «r»  cat 
contcmpldndosc  algunat  cxcepc  tones  y  icniendo  el  cartcier  de  revocable 


’  Dus  de  cartel e»  personal  vm  cualquicr  inloraaihMi  cotKcnutme  a  personal  Inxu.  <Ce«iflc«t» 
o  tdenuticaMet  (art  J  a  LOrt>  y  Re«ol«»An  Agtncu  PrsseccW*  dc  Daim i 

Kl  vtioato  14  del  Rcflunenio  «rrpfcj  Mi  detmuWn  Aciendo  que  ti  r«di  MjWnan* 
naWMii.  iiQatv'ma.  xntfira.  ariutro  o  Jr  miAtui"  upa  luerpnMr  J*  mofijs.  rtpm. 

rrattumnuo  o  tranvmu/m  r.mermmu  a  uu*  ptruma  fiuca  iJrnnfitaJa  a  uimtrfxMr ' 


www.FreeLibros.me 


CAPlm.Oft  II  MAKCO  K'KlISKVI  IH:  I  A  M  IHHWIMMimMMK  A  I.' 


i’rinripio  do  I  os  ditto*  expecialmcnle  protcgidos  (art.  7).  Sc  dcbc  garanti/ar  dc 
f«ma  especial  el  tratamiento  automatizado  de  los  datos  de  carictcr  personal  cuando 
elk*  sc  rcfieran  a  idcologfa.  afiliacidn  sindical.  rcligidn  o  crecncia*  del  afcctado.  asi 
«e»  kn  referentes  a  mi  origen  racial,  salud.  vida  sexual  o  a  la  conusidn  de 
■dracciones  pc  rules  o  admimstrativas 

Principio  de  seguridad  (art.  91.  El  rcsponsable  dchcra  adoptar  la*  medidas 
aecetarias  dc  (ndole  fisica.  organizaliva  o  Idgica  con  objeto  de  poder  garanti/ar  la 
seguridad  de  lo*  date*  dc  los  archivos. 

Principio  de  acccxo  indisidual  (art.  14).  CuaJquier  |>er*ona  tendni  derecho  a 
saber  si  mis  datos  son  tratadox  de  fomsa  automati/ada  y  a  terser  una  copia  dc  los 
nitmov  En  cl  caso  dc  que  dsto*  scan  inexact  os  o  sc  hubiesen  conscguido  dc  forma 
Cegal  tienc  derecho  a  que  scan  corregidos  o  dcstruidos 

Principio  de  publicidad  (art.  38).  Es  precise  que  exista  un  archive  pdhltco  en  cl 
que  figuren  los  dischos  dc  los  archives  de  datos  dc  cardctcr  personal,  lanto  k>s  dc 
wabndad  piiblica  como  privada. 

Dc  cston  pnneipios  sc  dcrivan  los  siguientes  derecho*:  dcrccho  dc  opostcidn  (art. 
30).  derecho  dc  impugnacidn  dc  valoracioncs  (art.  13).  dcrccho  dc  consulta  al  Rcgistro 
General  dc  Protcccidn  dc  Datos  (art.  14).  dcrccho  dc  acccto  (art.  15).  dcrectio  dc 
Rctiflcacidn  y  cancclacidn  (art.  16).  dcrccho  dc  tutcla  (an.  18)  y  dcrccho  dc 
iademni/acidn  (an.  19). 

Como  drgano  garantc  dc  estos  dcrcchos  cn  la  Ley  figura  la  Agcncsa  dc  Proteccidn 
de  Datos,  ente  dc  derecho  publico  coo  pcrsotulidad  juridica  propia  y  plena  capacidad 
pibbea  y  privada  que  actua  con  plena  indcpendcncia  de  las  Adrmmstracioncs  Public  as 
«  cl  cjcrcicio  de  sus  (unc tones  El  Estatuto  dc  la  Agenda  dc  Proteccido  dc  Datos  fuc 
•probodo  poe  Real  Decrcto  428/1993  dc  26  dc  marzo  y  decl.ir.ido  subsistente  por  la 
dbposicidn  transitoria  tcrcera  dc  la  LOPD. 

Al  frente  de  la  Agenda  figura  un  Director  y  consta  de  los  siguicntes  Organos: 
Ccosejo Consul) iso.  Registry  Gcncml.  Inspcccidn  y  Sccrctaria  General 

Las  potcstadcs  dc  la  Agenda  son  Us  siguicntes: 

Potest* d  rcguladoru.  Scgiin  cl  artfculo  5  del  Estatuto  coUbora  con  los  drgano* 
cocnpetcatcx  en  el  dcsarrollo  normMivo  as(  como  cn  la  aplkacidn  dc  la  Ley. 

Potestad  inspector*.  Scgiin  cl  anfculo  40  de  U  Ley  cofTCsponde  a  la  Agcncia  la 
wpervrdn  de  los  archivos  comprcndidos  en  el  imbito  de  dvta. 

Potestad  sandonadora.  La  Agenda  puede  importer  mulus  de  hasia  cicn  millo 
net  de  pcselas  para  los  casos  mis  graves  poe  la*  infracdoncs  consetida*  cn  cl  sector 
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privado.  Las  sanciones  corrcspondtcnics  al  sector  publico  vein  Ian  cstablccidas  n  b 
legist  aci6n  sobre  el  regimen  discipliruno  de  las  Admimstraconcs  Publtca.*. 

Potrstud  inmovilirxdora.  HI  Direclor  dc  la  Agencu.  srgdn  cl  artlculo  49.  en  tot 
MipucMos  constitutive!*  de  infraccido  muy  grave  poilri.  mcditntc  resolution  moioak 
inmovili/ar  lo*  archive*  automati/ado*. 

La  Ley  fue  dcsaxTollada  por  un  Rcglamcnto  aproKado  per  Real  Drum 
1332/1994  dc  20  de  junto.  y  cl  artlculo  9  roc  dcsarrollado  per  RD  994/1999.  de  II  * 
junto  que  aptobd  el  Reglainenla  dc  Mcdidav  dc  Segundad.  ambo*  dcclarata 
subsistcme*  por  la  Disposicidn  Traiwiloria  Terccra  dc  la  LOPD. 


6.3.  LA  PROTECCI6N  JURIDICA  DE  LOS  PFOGRAMAS  DE 
COMPUTADOR 

Antes  de  bablar  dc  *u  protcccidn  juridica  conxidcramos  importance  cxplicar  qrt 
%c  enliende  por  programas  de  computador  y  cuil  c*  *u  lugar  rntre  las  difcrcr.ic* data 
dc  bicncs  jurfdicos  dignos  de  protection  cn  nuevtro  ordenamunto  jurtdico 

En  una  pntnera  aproximacidn.  un  programa  dc  computtdor  sc  puede  totvudenr 
como  cl  coojunto  de  inatcriales  elaborados  concept  ualmentc  para  la  solution  de  aa 
problcina  de  tratamiento  automati/ado  de  datos. 

El  Texto  Rcfundido  dc  la  Ley  dc  la  Proptcdad  Intclestual.  aprobadn  por  Real 
Dccreto  Lcgislativo  1/1996  dc  12  de  abril.  cn  hi  artfculo  96.1  lo  define  como:  "toil 
setueneia  de  iruirutrtones  n  indicaeionet  deitinadas  a  ter  uttUzadax  dir  a  to  * 
indireciamenle  en  un  interna  mformdtico.  para  trait zar  mu  f under  o  una  torn  * 
para  abler*  r  un  rttultado  determinado.  cualqutera  que  fueraiu  forma  de  eipreuine 

A  lot  mnmat  efecios.  la  expreiidn  programas  dr  canputador  ctunprrndtti 
tambiSn  »u  documenlaeidn  preparatory  La  documeniaeiArt  Urnica  y  tos  manmltt 
de  uso  de  un  programa  gozardn  dr  la  mitma  protecctdrt  que  ale  Tflulo  dispenta  a  In 
progranuu  de  compulador  ", 

Entre  la  catcgoria  dc  lo»  biene*.  los  programas  dc  computador  prctcraa 
pcculiandadcs  que  los  difcrcncian  de  los  bienes  con  una  entidad  material  y 
susceptible*  por  tanto  dc  una  a  prehension  ffsica.  Nucstro  Ctidigo  Civil  divide  k» 
bienes  en  corporates  c  incorporalcs. 

Un  programa  dc  computador.  como  una  crcaci6n  de  la  mtntc  que  es.  no  puede  w 
incluido  cn  ninguna  de  cstax  don  categories.  por  lo  que  hay  qtx  acudir  a  una  nueva  qx 
es  la  que  se  ha  crcado  para  cste  npo  de  bicncs.  la  de  los  bicncs  inmatenales. 
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Un  b*en  immaterial  cv 

-  Fn«u  o  crcjoAn  dc  U  mcntc 

-  Pan  que  vr  tug*  perceptible  para  cl  mundo  e  Men  or  et  necctano  pLomarlo  en 
un  xoporte 

-  Puctlc  xcr  dixfrulado  timuliineamente  por  urea  plural  idad  dc  prrvooax 

Pur  todo  cllo  la  apropiackta  cn  lot  bienet  mmatenalct.  por  xi  sola,  no  ct 
wftoentc  para  garanti/ar  cu  pxe  exclutivo.  a  difcrcncia  dc  k>  que  oeurre  con  lot 
tenet  matenalci. 

Si  queremot  qoc  cl  titular  dc  un  Men  inmatcnal  didnitc  cn  cxclitiva  del  mumo 
ct  prtcixo.  desde  cl  panto  dc  vista  juridico.  que  cl  Dcrccho  prohfbj  a  lodcw  lot  demit 
la  utili/acidn  o  la  expkxactdn  del  mitmo  y  otorgue  al  titular  un  dcrccho  cn  cxctwiiva 

Un  projrama  dc  computador.  cm  no  se  detprende  dc  lo  expuetto.  et  un  bicn 
inmatcnal  y  en  funcidn  dc  tal  he  mot  dc  procurar  tu  protection  juridicj 

La  protcccidn  juridica  dc  lot  programat  dc  computador.  cn  pntcipio.  tc  puede 
■turumenur  uult/ando  lax  tiguietUct  inttitucionct  juridical  conocidav  cttipulacionct 
ccotractualcv  teertto  comcroal.  dcrccho  dc  purtcnlcv  dcrccho  de  manat  v  dcrecho  dc 


Como  ficilmcntc  vc  detprende  lat  cuatro  pnmerat  ticnen  una  cficacia  limitada. 
uendo  mix  amplu  la  ultima,  por  lo  que  et  cue  cl  tittema  elegido  po-  contidcrarlo.  a 
petar  dc  lat  dificultadct  que  pmcnia.  cl  mix  iddneo.  No  ohttantc.  la  protcccidn  que 
cl  dcrccho  oiorga  a  lot  programat  dc  computador  et  compatible  con  la  protcccidn  que 
it  le  pudiera  otorgar  por  otra  via. 

La  protcccidn  dc  lot  programat  de  computador  etti  rcgulada  cn  el  Tcxlo 
Rcfurxhdo  dc  la  Ley  dc  la  Propicxlad  Intclcctual  ta  paitir  xic  ahora  TRFI). 

El  aitkulo  10  del  TRPI  al  refen rtc  al  objeto  de  la  propicxlad  intclcctual  dice: 
'Son  o b)tto  dr  propiedtui  mleleelual  lodas  las  ereaciones  originates  Uierariat. 
anbtkas  o  cieniififat  etpretadat  por  cualquier  medio  o  i op*ne  tangible  o 
intangible,  miualmenie  conocido  o  que  le  imenie  en  el  futuro",  y  al  enumcrar  lat 
ebrat  comprrndidat  incluyc  entre  el  lax  lot  programat  dc  computador 

El  TRPI  rrgula  la  pcotccodo  dc  lot  programat  dc  computador  cn  cl  Tftulo  VII  del 
Ljfcro  I  (aru.  95  a  I  Oil 

Q  articulo  95  xcAala  que  "el  dereebo  de  auior  utbre  lot  programat  de 
amptaador  te  regird  por  lot  preeeptos  del  pretente  Tindo  v.  en  to  que  no  esul 
tspetifuamente 
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previsto  en  el  mitmo.  por  las  disposkionet  qu e  resullen  aph, ablet  de  la  preterm 

Ley". 

El  autor  por  el  «4o  hccho  dc  c rear  una  obra  liene  una  scric  de  derechot  que  re 
dividen  eo:  morales  y  patrimonmlcs  o  de  cxpSotaodn. 

Los  derechot  morales,  enumcradot  cn  el  artfculo  14.  ton  irrcnunciablcs  e 
inalienable*. 

POr  contra  los  derechot  palrimoniale*  o  de  cxplotactdn  pucdcn  sor  (rantfrndot 
librcntenle.  Segun  el  artfculo  17  "eorresponde  at  autor  el  ejercicio  exclusivo  de  hi 
tlerrchot  de  exploktcibn  de  su  obra  en  cualquier  forma  y.  err  especial,  lot  derechot  dt 
reproduccibn.  dutribucibn.  comumcacibn  publico  y  truntformaabn.  que  no  podri* 
ter  reahzadoi  tin  su  aulori&cibn.  tat  to  en  lot  catos  previtios  en  la  presente  Ley'. 

El  artfculo  100  fi>*  unc*s  Ifmitcs  a  lot  derechat  de  cxplotacidn  cn  funcidn  de  Ui 
pcculiahdadct  propras  de  lo\  program**  de  computador  pnncipalrnenle  rcfcndos  *  U 
copra  de  tcguridad  y  la  intcropcrabilidad. 

Por  reproduce  ion.  segun  cl  artfculo  18.  "*e  eniiende  la  fijacibn  de  la  obra  en  m 
medio  que  permiia  tu  comunwacibn  y  la  obtencibn  de  copiat  de  toda  o  parte  de  tlla". 

Distribucrdn.  segun  el  artfculo  19  c*  "la  paetta  a  despotic  ton  del  pMko  del 
original  o  copias  de  la  obra  mediante  tu  tenia,  alqutler  o  pnfslamo  o  de  cmtlquut 
oira  forma". 

Segun  el  artfculo  20. 1 .  ~Se  enienderd  por  comuniiacibn  puNica  lodo  aclo  por  d 
i  mil  una  plurnlldail  de  personas  pueda  terser  acceto  a  la  obra  sin  previa  dntnbuci&s 
de  ejemplarn  a  coda  una  de  ellas.  “ 

La  transform*,  ion  dc  la  obra.  a  tenor  del  artfculo  21.1  “ comprende  tu  truducabt, 
adaptacibn  v  cualquier  otra  modifkacibn  en  su  forma  de  la  que  se  derive  una  obra 
di/erenie'. 

En  pnncipro  el  titular  cxclutivo  de  los  derechot  de  expfcxacidn  e\  el  propio  auto 
fart.  17). 

A  la  utulandad  de  lot  dercchon  sobre  los  ptogramat  dc  computador  dedica  el 
TRPI  cl  artfculo  97  present  indose  los  siguicntet  catos. 

“/.  Sera  consider, ido  autor  del  programa  de  computador  la  persona  o  grupo  de 
personas  naturales  que  lo  hay, in  creado.  o  la  persona  juridica  que  sea 
comemplada  coma  titular  de  los  derechot  de  autor  en  los  easot 
expresamenle  previtios  por  etta  Ley. 


www.FreeLibros.me 


CMtnxo*  n  makco  nmtocor*  ia  unnimiA  woiiwi>  <  m 


2.  Cuando  st  trait  dt  ana  obra  coiectna  ttndra  la  eonudtracuht  dt  autor.  satin 
potto  tn  contrano.  la  persona  natural  o  juridita  tpte  la  tdtlt  o  dual  gut  bajo 
sunombrt. 


}.  Los  dtrtthot  dt  autor  sobre  un  programa  dt  computador  qut  sta  rtsullado 
unttano  dt  la  colaborac  Idn  tnirt  vanos  autor rt  strdn  propitdad  tomun  y 
corrtspondtrdn  a  todos  tslos  tn  la  proportion  cfut  dettrmmtn. 

4.  Cuando  un  trobapidor  asalanado  crtt  un  programa  dt  computador.  tn  rl 
ejtrcttio  dt  las  funtumts  tfu t  It  Kan  udo  cnnfiadas  o  siguitndo  las 
inslnuctonts  dt  su  tmprtsano.  la  titularidad  dt  los  dtrtthot  dt  tipiolacidn 
corrtspondttntti  al  programa  dt  computador  asi  ertado.  tanto  tl  programa 
fittnit  como  el  programa  obfeto.  corrtspondtrdn.  rtclutnnmmtr.  al 
tmprtsario.  salvo  patio  tn  contrano. " 

Cuando  exist!  uiu  rclactdn  mercaMil  *c  atari  a  lo  pactado  en  cl  cootrato. 

la  titulandad  dc  lo*  dcrccho*  habrl  dc  dcmcnlrarsc  pot  alguno  dc  lo*  medio*  dc 
prurtu  admitido*  cn  dcrccho  FJ  articulo  6. 1  dice:  ~St  prtsumird  autor.  salvo  prutba 
<a  contrano.  a  ipatn  apart  tea  como  laltnla  obra  mediant  su  nombrr.  firma  o  signo 
fa*  lo  tdtnttfiqut.  " 

la  imcripcidn  dc  un  programa  de  computador  cn  cl  Rcgistro  dc  la  Proptcdad 
kuelectual  no  «  constitutiva  dc  dcrccho*.  sino  stmplemente  declarative  dc  lo* 
dcrccho*  dc  propiedad  inidcctual  »obrc  aqull.  no  constituycndo  una  prueba 
ndotructible  sobre  la  titulandad  dc  una  obra  determmada.  moo  que  con*tituyc  una 
oueva  prrvuncidn  dc  dtcha  titulandad. 

las  infracciooes  del  dcrccho  dc  autor  pueden  *cr  pcrvcguida*  por  la  via  civil  y  la 
tit  penal. 

El  T(tuk>  I  del  Libro  III  e*li  dcdicado  a  las  acetone*  y  proccdimicnto*  para  la 

fCMcceidn  At  lo*  dcrecho*  raconocido*  cn  la  Ley 

Como  medtdas  dc  protcccidn  figuran: 

-  Cetc  de  U  actividad  ilicita  (an.  1 39). 

-  Indcmni/acidn  dc  los  daAo*  matcrialc*  y  morales  causados  (an.  140). 

-  Medidas  caotelarc*  (arts.  141.  142  y  143). 
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E)  articulo  102  nui  rcfcndo  a  la  infraccido  dc  lot  dercchos  rcspecto  a  la 
programs*  dc  computador: 

~o)  Quienes  pongan  en  circuktcidn  una  o  nuts  copias  de  un  programs  it 
computador  conociendo  o  pudiendo  preiumir  su  naturaleia  ilegitima. 

Quienet  lengan  con  fines  comerciales  u mi  o  mds  copias  de  un  pro  frame  it 
computador,  conociendo  o  pudiendo  preiumir  su  naturaleza  ilegitima.  t 

Qutenes  pongan  rn  circulacidn  o  tengan  con  fines  comerciales  cuatpeei  ' 
instrumento  cuyo  unico  uso  sea  facilisar  Ut  supresidn  o  neutraUuteidn  m 
autoriiadas  de  cualquicr  di  spout  no  tdcmco  utili&ido  /wo  proteges  m 
programa  de  computador.  ~ 

En  la  via  penal  lav  infrocciones  del  dcrccho  estan  tipificadas  en  lot  unlculcn  2», 
271  y  272  del  Cddigo  Penal1  pudiendo  lie  gar  la*  pens*  de  pnsidn  a  cuairo  allot  j  hi 
multas  a  vcinticuatro  metes  para  lov  caxot  inis  graves. 


b) 

c) 


6.4.  LAS  BASES  DE  DATOS  Y  LA  MULTIMEDIA 

Una  base  de  dalot.  corno  dice  DA  VARA  RODRfGUEZ,  a  quicn  seguircracK  a 
esic  apansdo.  es  un  depdsito  comiin  de  docutnentacido.  util  para  diferentes  usuano* j 
distintax  aplicaciones.  que  permite  la  rccupcraodn  de  la  informacidn  adccuada  part  b 
re&olucidn  de  un  problems  plan'.eado  en  una  consults 

JAMES  MARTIN  define  la  base  dc  dates  como  una  coleccidn  de  duet 
inicrrclacionadot  alnvacenado*  en  conjunto  sin  redundancias  perjudiciales  « 
innccesariax;  xu  finalidad  ex  la  de  tervir  a  una  aplicacidn  o  mi*,  de  la  mejor  maoen 
poviblc.  los  datos  te  almacenan  dc  tnodo  que  rctultcn  indcpcndieMex  de  lot  program* 
que  lot  utan;  *e  emplean  mdtodos  bien  determinados  para  inclutr  datos  nuevos  y  pan 
modificar  o  extracr  lox  datos  almaccnadot.  Dfcexc  que  un  titicma  comprende  uni 
coteecida  dc  base*  dc  datos  cuando  dsta*  son  totalmcntc  independientes  desde  el  puns 
de  vista  estructural. 

Una  base  de  datot  se  compooe  de  un  contcnido  y  de  una  cstructura  de  or 
contcnido. 

El  contemdo  de  una  bate  de  datos  poedc  ter.  lextos.  grificox,  tonidot.  imigeoet 
ftjat  c  t  mi  genes  en  movimiento. 

En  lenguajc  mformdtico  a  csto  sc  le  sucle  denominar  media,  a  la  que  not 
referiremos  cxpecflkamentc  mix  adclantc. 


‘  Ley  OrttaKi  I  (VI 995  de  23  de  mn winter 
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Ldgkamcntc  cada  uno  dc  evtov  contemdos  tcndri  un  titular  dc  los  dercchov  dc 
■tor  sober  los  mismos. 

Pen)  con  independence  dc  csto.  que  cs  important  >  que  habri  de  lenenc  en 
csenu  a  la  bora  dc  crcar  una  base  de  datos,  lo  que  aqui  traiamos  de  buscar  c> 
prottccVin  juridica  de  cvi  estructura  para  la  que  ha  sido  ncccsaria  una  obra 
atadvidad  al  sckccionar.  clasificar  y  oedenar  su»  respective**  contemdov 
dtfimtiva  vc  trata  dc  una  c*ra  de  cteatividad  intclcciual  y.  por  tanto.  objeto 
protccoCxi  Hay  vccct.  jin  embargo.  que  no  sc  trata  dc  una  creatividad  intclcctua 
bo  obstante  vu  valor  econdtnico  es  grande. 

Las  primeras  bases  cstin  protegidas  por  cl  dcrccho  dc  aulor  y  las  segunda*  por  un 
dtrerfio  nir  generu  al  que  *c  re  Here  la  Dsrcctiva  de  la  Unidn  Europea  96WCH  del 
PuUmcnlo  l.uropco  y  del  Conscjo  dc  1 1  de  mar/o  de  1996 

E»  imponantc  analirar  la  funcidn  dc  los  diferentes  autorcs  que  partkipon  en  la 
ereaodo.  desarrollo  y  cxplotaciOn  dc  una  base  de  datos.  jus  rclacioncs  contract  Dales  y 
U  protcccidn  juridica  de  la  titulandad  de  las  bases  de  datos.' 

En  in  principio  en  una  base  de  datos  participan:  el  c reader  o  promoter,  el 
dutnbuidor  y  el  usuano. 

Creador  o  promotor  es  toda  aqoclla  persona  ffsica  o  juridica  que  partiendo  dc  una 
idea  tektekma.  claufica  y  ordena  un  detenranado  lipo  de  informaeidn  creando  una 
base  de  datos,  la  inantiene  y  la  actualin. 

Distnbuidor  es  asimismo  toda  persona  Itsica  o  juridica  que  comcrciali/a  el 

^odano 


Por  ultimo,  usuano  cs  toda  persona  fisica  o  juridica  que  utilira  y  cornu  ha  la  base. 

Entre  creador  o  promotor  y  distnbuidor  existc  una  relacsbn  contractual  cn  la  que 
d  pnmero  sc  compromctc  a  la  creaciCm.  mantenimiento  y  actuali/acidn  de  la  base  y  el 
Kfuado  a  vu  comcrcialiracidn.  aunque  en  algdn  case  podria  llegar  a  su  disinbucuSn 

ptnuu 


Lot  cootratos  entre  el  distnbuidor  y  el  usuano  suclen  ser  de  los  denominados  de 
adbesido.  cn  los  que  cl  pnmero  fija  las  coodicionex  y  el  segundo  timplemcntc  sc 
aduert  a  ellas. 


JORGE  PAEZ  MANA  Ra~<  J,  Dim  Cmis  CSIC. 


•«  R-  S’  fr  r 
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I  j  protecc»6n  junidica  en  nuestro  ordenamiento  junidica  viene  dada  por  el  vigen* 
Texio  Rctundido  tie  la  \jey  dc  la  Propiexlad  Intclcvtual  dc  12  dc  abnl  de  1996  y  pet  It 
Dirccliva  de  U  Uni6n  Europea.  incotporada  al  ordenamienio  jurfdico  esparto!  pot  U 
Ley  5/1998  de  6  de  mano. 

En  definitiva  lo  que  se  protege  cn  una  have  de  dato*  no  ex  simpiemcnte  d 
almaccnamiemo  de  obras.  mi  ordenacMta  y  rccupcracion.  vino  que  cv  todo  d 
proccdimicnio  de  crcacKSti  y  el  rcvuliado  final  de  la  misma.  en  cuanto  a  mi  cotuctudx 
anilisis.  almaccnamiemo.  clavificacidn.  veleccidn.  y  ordenaciOn  que  caracterira  a  b 
have  dc  dal  os  en  si. 

Cotno  hcmos  dicho  antenormeme.  en  lenguaje  informitiva  ve  dcnomina  media  < 
las  diferemes  claves  dc  arc  hi  vox  que  sc  pucden  utihrar  cn  un  visiema: 

Siguicndo  a  MILL!:  dstos  pucden  scr  los  siguicntcs: 

a)  Archives  de  ttxtos.  fsios  conticnen  la  dcscripcidn  numCnca  de  b 
informacidn  redactada  mediante  signos  alfanumdricos. 

b)  Archivos  grificos.  Conticnen  la  dcscripcidn  numirica  dc  un  dixerto. 

c)  Archivos  dc  sotiidos.  Conticnen  la  dcscripcidn  numeric.!  de  una  ondi 
sonora. 

d)  Archivos  de  i  mi  genes  fijas  Comienen  la  descripckbi  numirka  dc  uni 
nnagen  formada  por  pixelev  ordenados  en  columnas  y  filas. 

e>  Archivos  de  imigcncs  en  movimiemo.  Comienen  la  dcxcnpci6n  iw  mines 
dc  imigenes  cn  movimiemo  y  se  Itaman  corrientemcme  videos. 

Estos  archivos  sc  psieden  proeexar  vimultineamcnte  y  alnuccnar  en  el  misao 
sopone.  Ecu  combinacidn  de  archivos  permite  producir  creaciones  multimedia. 

Multimedia  sc  puede  dcfinir  como  la  combinacidn  dc  todo  tipo  de  scAales  de  vo*. 
dates,  imigenes  y  esentura.  Es  un  conccpto  global  que  aharcari  una  gran  diverudad 
de  sovkioa. 

Entrc  las  obrav  multimedia  encomramos: 

al  Vidcojuegos.  Se  suele  tratar  de  obras  creadas  como  multimedia  y  no  suelen 
incorpoear  elememos  dc  obras  ajenas. 

b)  Educacidti  y  entretenimiemo.  Programas  de  envertan/a  y  dc  emrenamiento. 

c)  Edutainment.  Productos  que  emeflan  al  usuano  nuentras  juega. 

dl  Rcvistss. 
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e)  Puhliodad. 

0  Simuladores. 

I  j'  obras  multimedia  Miclen  scr  prod  net  o  de  un  equipo.  sc  traia  de  obras  colccti- 
us  >  su  litularidad  suck  Icnctla  una  persona  jurfdtea. 

En  gran  tuimero  dc  casos  una  ohra  multimedia  serf  una  obra  dcrivada.  pucs  sc 
frsbayari  sobre  una  obca  ya  existente  dc  la  que  sc  deberdn  terser  las  dcrcchos 
ccnapondicntcs  salsa  que  sc  Irate  de  obrav  dc  dominio  publico 

Para  la  crcacidn  de  obras  multimedia  se  widen  utili/ar  las  llamadas  hcriatmeniax. 
pot  ejemplo  lenguajes  dc  autor  Dc  estas  hcrramkntas  *e  deberi  tencr  licencia  para 
■  no. 


Igualmcnte  sc  suclcn  utili/ar  grifico*.  fotografias.  etc.  que  cxisten  en  archivos 
ertados  al  cfevto  y  tambiCn  habrd  de  contrutane  su  utilization 

Puedc  sucedcr  tamhkn  que  se  induyan  obras  dc  video  con  interpret*  ibn  dc 
amstav  con  k»  que  habrl  que  contratar  la  nccesana  autoriracidn. 

En  resumen.  el  rrairsdo  de  la  multimedia  es  un  sector  cn  gran  auge  que  torso  todo 
lo  noeso  plantea  problemas  en  las  relaciones  entre  I  os  intersmientes  que  el  dcrccho 
deberi  resolver  en  aqucllo  que  adn  no  esid  contempt  ado  en  cl  ordenamiento  juridico. 


6.5.  LOS  DELITOS  INFORMATICOS 

Frautlc  puedc  scr  dcfmido  como  engaflo.  accidn  contraria  a  la  svrdad  o  a  la 
ttttjtud  La  definicidn  «k  delito  puedc  scr  mis  compkya. 

Machos  cuudiosos  del  Dcrccho  Penal  han  intentado  formula!  una  nocidn  dc 
defeo  que  urvicse  para  todos  los  tiempos  y  en  todos  los  pafses.  Kslo  no  ha  sido 
pouble  dada  la  intirru  conexidn  que  cxiste  entre  la  s-ida  social  y  la  jurfdica  de  cada 
P*blo  y  cada  siglo,  aqiklla  condicmna  a  dsta. 

Segtln  el  ilustre  pciulista  CUELLO  CA1.6N  los  elementos  intcgranics  del  delito 


a)  El  delito  es  un  acto  humano.  es  una  accidn  (accidn  u  omisidn) 

b)  Dicho  xio  humano  ha  dc  scr  antijuridicn.  dche  lesionar  o  poncr  en  pcligro 
un  intcrd*  jurfdkamente  peotegido 

c)  Dcbe  corrcsponder  a  un  tipo  legal  (figura  dc  delito).  definido  pot  la  ley.  ha 
de  ter  un  acto  tipko. 
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d)  El  acto  ha  dc  ter  culpable,  imputable  a  dolo  (inlcnoAo)  o  a  culpi 
(negligcncta).  >  una  accidn  c>  unpuUblc  cuando  pucde  ponerte  a  cargo  de 
una  deter  minada  pertoru 

e)  La  ejecuctdn  u  omitiOn  del  acto  dcbe  c*Ur  uncionada  con  una  pcna. 

Por  unto,  un  dclito  ev  una  acctdn  antijuridica  reali/ada  por  un  ter  human), 
iipificado.  culpable  >  tancionado  con  una  pcna. 

Se  podria  dcfinir  el  delito  inlormitico  cento  toda  accidn  (acctdn  u  omiufa) 
culpable  realirada  pur  un  ter  humano.  que  caute  un  perjtncio  a  percona*  on  qut 
nccetanamcnte  *e  hcncficie  el  tutor  o  que.  por  cl  contrario.  produtca  un  bendicio 
ilkito  a  mj  autor  aunque  no  pcrjudique  de  forma  direvta  o  indirecu  a  la  vlctimt 
iipificado  por  la  Icy.  que  se  rcali/a  en  el  entoroo  informilico  y  ctli  tancionado  coa 
una  pcna 

Contemplado  cl  delito  informkico  en  un  sentido  amptio  se  pueden  formar  vanoi 
grander  grupot  de  figura*  delicto  ac  claramcMc  difercnciadav 

a)  Delito-  contra  la  intimidad. 

b)  Delito*  contra  cl  painmonio. 

c)  Paltedadet  documentalev 

El  Cddigo  Penal  vigente.  al  que  not  rcfcriremot  a  panir  dc  ahora.  fuc  aprobado 
por  la  Ley  Orginka  IWI99S  de  23  de  noviembre 


Delilot  contra  la  intimidad 

El  Titulo  X.  Delito*  contra  la  intimidad.  el  dcrccho  a  la  propia  imagen  y  la 
inv  iolabtlidad  del  domicilio.  dedica  -u  Capitulo  Pnmcro.  que  comprtndc  lot  art icu let 
197  al  200.  al  detcubrimicMo  y  rcvelacidn  dc  lecrctot. 

Ettc  capitulo.  apartc  de  or  rat  materia-.  tiene  a  regular,  en  tede  penal.  Ia> 
infran-Min  «jur  w  comrtai  en  d  imbaio  da  U  1-ey  Orgimca  S/1992.  de  29  dc  Mtatn. 

LORTAD. 

El  artfculo  197,  en  tu  porno  I.  contcmpU  la  figura  de  quwn  para  dctcubrir  let 
(ccrctot  o  vulnerar  la  intimidad  de  otro  te  apodera  de  mentajet  de  correo  clcctrdmcoo 
cualetquKni  ottos  documeiMov  Aqui  entendemot  que.  a  tenor  de  lo  que  ditponc  cl 
artfculo  26  dc  la  Ley.  jc  encuentra  comprcndido  cualquicr  tipo  dc  documeiuo 
electrOnico. 

En  el  mitmo  punto  tambkn  te  comprcnde  la  intcrccptacidn  de  its 
comumcacionct.  la  utilizacidn  de  artificicn  trcnico*  de  etcucha.  trentmicifa. 
grabackSn  o  reproduce  too  del  tonido  o  de  la  una  gen  o  dc  cualquicr  otra  teAal  de 
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comunicaciOn  Pensamos  que  cntre  lo  anterior  %c  cncuemra  cl  piochado  de  redes 
u/omiticas  Es  importantc  advert  ir  quc  cn  CMC  punto  no  sc  habic  para  nada  dc  dales 
it  carkici  personal  ni  dc  dal  os  automaii /adov.  a  I  on  quc  te  rcfiere  cl  miuno  articulo 
m  d  punto  siguicntc.  vino  a  tccretot  y  a  tulncracibn  dc  la  tiMimidad  cn  general 

El  punto  2  del  articulo  sc  refierc  cspecificamentc  a  datov  dc  carictcc  personal 
jero  abarcando  no  mMo  coroo  actualmcnte  hate  la  LORTAD.  lot  archivist 
nfomultxos.  elccirdnicos  o  lelcmitscov.  tino  tambien  lot  anhivot  convene mmijIcs 

'leu  imimai  penas  se  impondrdn  a  quttn.  tin  estar  aulon&do,  te  apodere. 
ttihee  0  mothfiyue.  en  perjuicio  de  trrxrro.  datot  reservodot  de  car  dele  r  perumal  o 
fatihar  de  t»'o  quc  ic  hallen  registradm  en  archival  o  toporlet  m/ormaticoi. 
tUelnSnkos  o  lelemdlrcos.  o  en  cuaUpuer  otro  lipo  de  archtvo  o  rrgium  publico  o 
pm ado  Igualci  penai  te  impondrdn  a  tfuien  tin  eilar  aulonzndo  occeda  por 
atthpuer  medio  a  tot  miimot  y  <r  t/uten  lot  ahere  o  utilice  en  perjuicio  del  titular  de 
let  datot  ode  un  tercero.  ~ 

En  lot  puntos  viguicmcs  del  aniculo  lav  penat  te  agravan  ti  lot  dal  os  se  difunden. 
rcveUn  o  ccdcn.  Atimitmo  tc  sanciona  a  quten  conociendo  tu  origen  ilicito  y  tin 
hater  tornado  parte  cn  cl  dcscvbrimicnio  lot  difunda.  rcvclc  o  ceda. 

El  hccho  de  quc  quicn  conveta  cl  dcliio  tea  cl  encargado  o  cl  respon sable  del 
vcfcvo  agrava  la  pena 

Etisten  unat  circuntiancia*  agravaMct  quc  te  dan  en  funcidn  de: 

a)  El  car  icier  dc  lot  datot:  ideologla.  religion.  crcenciat,  talud.  origen  racial  y 
vida  sexual. 

b)  Las  ctrtunsiunctas  de  la  vicuma:  menor  dc  edad  o  incapar 

FJ  hccho  dc  que  te  pertiga  un  fin  lucrativo  igualmente  elev  a  la  pena 

La  condicidn  de  autoridad  o  funcioruno  publico  agrava  las  penat  dada  la 
atuandn  de  pnvilegio  cn  quc  actita  (art.  198). 


Milos  contra  H  palrimonlo 

Lot  dclilos  contra  el  putnmonio  y  contra  cl  orden  tocioeconbmico  figuran  cn  cl 
Tftulo  XIII. 
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K»  imporiantc.  en  el  domimo  cn  que  nos  mosemos.  lo  que  %e  dice  en  cl  artioii 
239.  al  tratar  de  las  Haves  falsa*,  al  considcrv  Haves  las  tarjelav  ntagndtkat  • 
petforadas.  y  los  mandos  o  instnimentos  dc  apertura  a  distancia 

Asf  las  urjclas  magndtica*  sustralda*  a  su*  propictario*  se  constdcrarin  Hava 
falsas.  Es  impost  ante  esu  consider  acidn  en  rclacidn  con  el  anfculo  23K  en  que  pn 
calificar  un  dclito  dc  robo  con  fuer/a  en  las  cotas  es  necesaoo  que  coocurra  alguna  de 
s  anas  circunsianciav  entre  las  que  se  encuentra  el  uso  de  lUves  falsas. 

Entre  lo*  dehtos  contra  el  pstnmomo  sc  encuentran:  la  esufa  informitica.  lit 
defraudacioncs.  los  daAo*  information  y  la  propiedad  intclectual. 


Kstafas  Informdticas  (art.  248.2) 

La  cstafa  se  puede  defiiur*  como  el  pefjuicio  patrimonial  real  it  ado  con  dm  mo  dc 
lucro  mediantc  cngaAo. 

El  enjtarto  cs  clemento  necesario  de  este  delito.  Consittc.  segtln  CUELLO 
CALGN.  en  apros-cctursc  del  error  pros ocado  o  mantenido  por  el  agente  en  U  persoai 
cngaAada. 

Hasta  U  entrada  cn  vigor  del  nuevo  Cddigo  Penal  ha  sado  dificil  reconducv 
determinados  fraudes  infoenuticos  hacia  U  figura  de  la  esufa  debido  a  U  inexistcnca 
del  clemento  de  engafto  a  una  persona 

El  punto  2  del  articulo  248  dice:  ~Tambt/n  se  consult  ran  reos  de  estafa  los  tpu. 
con  linimo  de  lucro.  y  vaMndose  de  alguna  manipulation  informdtica  o  artificie 
stmejante  consigan  la  transferenaa  no  consentida  de  cualtpiier  octivo  patrimonial  ra 
perjuiao  de  lercero. " 


Defraudaciones  tart.  256) 

Sc  considers  dcfraodacidn  cl  uso.  sin  consentimiento  dc  su  titular,  de  cualqiner 
equips)  terminal  de  telecomumcacidn. 


■  H<.fNK»  Ct  fULO  CMOS  Orrr.6)  Paul  II  tPurU  fynul  V«Wa  apmjol  Bose*. 
Barcelona.  !*Ti  pig.  914 


capuvux 
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Mon  informal  kos  (art.  2*4-2) 

Seglin  el  jrtwulo  2*4.2  <C  tanciona  ~ol  que  par  cualquier  medio  dettrvya.  a  here. 
mtSilue  o  de  cualquier  otto  modo  daAe  lot  dams,  pro  gramas  o  documental 
dtarOntcos  tiff  not  ccmtemdos  m  rrdft.  soportrs  o  si  sir  mat  informant  ot~ 

Facte  cmv  situacicocs  sc  pocdcn  incluir  lo»  famosos  sirus  mformitkos,  horn  has 
K* seas  y  tuckers 

fropkdad  intrlcctual  (aril.  270.  271  y  272) 

Lot  dclitos  relative*  a  la  propscslad  mtclcctual  e  industrial.  al  mcrcado  y  a  k* 
wrauraodores  sc  comcmplan  cn  cl  Capftulo  IX. 

~Articulo  270.  Seed  castigodo  con  la  pena  dr  pritidn  de  sett  metes  a  dot  ados  o 
it  muka  de  iris  a  veinticuatro  metes  quirn.  con  drumo  de  lucro  v  en  perjukio  de 
ttreero  reproduzca.  plagif.  distributes  n  comumque  pubheamente.  en  lodo  o  en  pane, 
ma  o6fo  hteraria.  anririca  o  cientifica.  o  su  transformation.  interpretation  o 
tjnuaOn  artistica  fijada  en  cualquier  tipo  de  soporte  o  comumcada  a  iraWi  de 
tmlqsder  medio,  sin  la  aulorizaciOn  de  lot  ntulares  de  lot  corretpondientes  derechot 
ie  proptedad  in  tele  dual  o  de  J«u  ceuonanot. 

la  rnttma  pena  sr  tmpondrd  a  quien  intent lonadamentr  importe.  esporte  o 
tlmacene  ejemplaret  de  dtchas  obras  o  produccmnei  o  efecucionet  tin  la  refenda 
Mtarizacidn. 

Seed  cattigada  tambten  con  la  mitma  pena  la  fabrication,  puesta  en  circulation 
}  tenencta  de  cualquier  medio  etpetificamentr  dettinodo  a  fdeditar  la  tupresiOn  no 
noonzada  o  la  neutralization  de  cualquier  dispoutivo  l/cnico  que  se  kuna  utihzado 
pans  protegee  programas  de  computador.  “ 

Es  uiteresante  advertir  que  no  sdk>  sc  sanciona  la  fabricacidn  o  pocsta  cn 
amlactta.  stno  la  simple  tcncncia  dc  un  dispositito  para  saharsc  las  liases  Idgtcas  o 
III  famosas  “mochilas" 

Sc  clesan  las  penas  si  cl  benefioo  obtenido  es  cuaiuioso  o  cl  daflo  causado  cs 
gn»c.  y  ademis  sc  inhaNliU  al  autor  del  dclito  para  cl  ejercKio  dc  la  profesidn 
RlKionada  con  cl  dclito  cometido  (art.  271). 

Erie*  anfculos  son.  cn  sede  penal,  la  respwesta  a  esa  lacra  dc  nucstro  iicmpo  que 
«  b  psratcria  informilka 
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Evta  result!  muy  ilaAiiu  para  cl  dcvarrollo  mformil  ico.  pcro  cntcndemuv  qoe  tdh 
cun  la  miciu/j  dc  ana  vanctun  penal  no  vc  volociona  cl  problcma  Fa  ncccvaru  m 
labor  educative.  puev  havta  que  no  hayamov  convcncido  al  infractor  de  que  cumfe 
evli  copiando  i legal mcnlc  un  program*  dc  computador  c*  como  u  evtirvieve  robinfe 
la  cart  era  a  otra  persona.  diftcilmcntc  m-  hallari  voluc  :*»n  Invivtimov:  rcvulta  vital  at 
labor  cducativa. 

Dclitos  dc  lihrdidn 

Lav  falvcdadcv  sc  contcmplan  cn  cl  Tltulo  XVIII  del  Cddigo.  La  avimilacita  qoe  I 
have  cl  articulo  387  dc  lav  larjctav  dc  dbbrto  y  de  crCdito  a  la  moneda  ee  mrj  I 
import  ante  de  can  a  la  defensa  dc  bvtav  (rente  al  ataque  cnminal  dc  que  cuin  sxnit 
objeto 

Ea  cl  artfculo  386  vc  vanaoru  vu  faluficacidn  y  puevta  cn  circulao6n. 

A  la  falsiftcacida  de  k»  documcnlov  puhlicov  oticialcv  y  rocrcantilev  y  dc  lot 
dcvpochov  trammitidoi  pur  lov  verv  k*ov  dc  tclccomuntcacidn  vc  dedtea  la  SocciAn  I* 
del  Capftulo  II  dc  evte  Tltulo  (am.  390  a  39S  y  400)  Como  deciamov  al  principle  d 
attfcwlo  26  del  CAdigo.  al  conuderar  documcolo  todo  voportc  material  que  cxpmc  a 
incorporc  datcn  con  cficacia  probatoria  o  cualquicr  npo  de  relcvancia  jurfdica  percale 
que  cualquicr  arttcuk)  del  CAdigo  que  vc  rcficra  a  un  documento  pueda  ver  apltcado  I 
<Stc  aunque  tea  clectrOciico 

6.6.  LOS  CONTRATOS  INFORMATICOS 

El  contrato  informitico.  segun  DAVARA  RODRIGUEZ1  ’«  oquel  aeyo  objei* 
«  an  been  o  un  tenlcto  Utformdtico  ~o  amhot-  o  que  una  de  lot  preuacionei  de  lot 
pane  lenga  por  objeto  tie  bten  o  ten  ttto  mformdtna  * 

No  caiue  un  numeral  clausas  de  lov  contratov  infomUucm  y  pueden  vegur 
multiplicindovc.  lo  que  viene  vuccdiendo  cn  funcidn  de  lov  a vanccv  tecnarov  y  dc  m 
mayor  utiliuct4n  por  la  vockdad 

Lov  contratov  infortnitkov  vc  suelcn  dividir  cn  tree  grandev  grupov  hardware, 
software  y  vctykiov. 

Lntendemov  que  evta  division  no  revponde  ya  a  la  realidad.  y  para  una  mayce 
clarificaciAn  del  problcma  y  una  mayor  homogcncidad  evta  cLauficaciOn  *c  debt 
am  pi  ■  ar  del  viguiente  modo: 


:  M1GI.U.  ANGEL  DAVARA  RODRIGUEZ  ArawaA.  Puuflnu.  IWJ. 
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1.  CoMratacido  del  hardware. 

2.  Cootratacidn  del  software. 

3.  Cootratacidn  de  datos. 

4.  Cootratacidn  dc  servicias. 

3.  Cootratos  complejos 

Hast*  el  preaentc.  el  tercet  gntpo  dcdicado  a  los  scrvicios  xenia  ssendo  una 
opcoe  dc  cajdn  dc  satire  dondc  ilsan  a  parar  todo*  los  conuatos  que  no  sc  referian 
Opccificamcntc  al  hardware  o  al  software.  Asl  cootemplibjimos  en  esc  grupo  la 
caoerculitKtdn  dc  los  datos  y  una  sene  dc  contrato*  de  ciena  comptcjidad  que 
cwnjeendi'an  en  si  mi.smos  aspcctos  de  hardware,  de  software  y  dc  scrvicios. 


Cantratacidn  del  hardware 

El  ofejeto  dc  la  cootratacidn  en  csta  clase  de  contralos  cs  d  hardware,  o  sea.  la 
pare  fisica  del  compmador  y  dc  sus  cquipos  auxiliares. 

Esie  iipo  de  contralos  no  suelen  presentar  problcmas  cspecllicov  law  contralos 
wit  usualcs  soa  los  sipncr.tcs: 

a)  Cotnpravcnta. 

b)  Arrcndanucnto. 

c)  Aircndanucmo  financiers'  floating g 

d)  Mantcnimicnto. 


Ccntrataodo  del  software 

Yi  nos  heroox  refendo  a  esta  categorfa  dc  btenes  antenormente  y  a  sus  e  special  cs 
pccuhartdadcv  Los  cooiraios  mis  comeMcs  son  los  siguiente*: 


Dnarrolto  de  software 

Se  trata  del  case  en  que  una  persona  fisica.  un  colectivo  o  una  cinprcsa  crcan  un 
software  etpecllico.  a  m alula  para  otro.  El  Iipo  dc  contrato  puede  s<r  arrendamiento 
it  scrvicios  o  de  obra.  mercanul  o  Uboral. 


Uftnaa  de  t iso 

Es  el  cooirato  en  virtud  del  cual  el  titular  dc  los  derecho*  de  expkoctdn  dc  un 
propama  dc  computador  autonia  a  otro  a  utilizar  cl  programa.  conscrvando  cl  ccdcnte 
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la  propicslad  del  mismo.  Esta  aulon/acidc.  salvo  pocto  en  conirano.  tc  entiendc  4c  I 
canteter  no  exclusive  e  intransfenblc 


Adaptacida  de  un  software  produrto 

Sc  tratu  de  la  cuntrataoon  dc  una  liccncia  de  uvo  dc  un  producto  cstlndar  q*  , 
habri  que  adaptar  a  las  nccesidadc*  del  usuario 


Man  ten  i mien  to 

I  I  contraio  de  mantcnimiento.  en  principio.  licne  por  objeto  cotrcgir  cualqacr 
error  detcctado  en  kn  program**  fuel  a  del  period*'  de  garantia.  Se  cocudcran  vara 
tipos  dc  manuninuemo:  correclivo.  de  adaptacidn.  perfect!  vo  y  prevennso. 


Garantia  dr  aeceso  al  eddtgo  fur  me 

b  aquel  que  licne  per  objeto  garantiiar  al  usuario  el  acccso  a  un  program*  foeur 
en  el  caw  dc  que  dexaparezea  la  emprev*  titular  dc  lo*  derechos  dc  propecdal 
intelectual.  Consiste  en  el  depduto  del  programs  fuentc  en  un  fcdatario  publico,  qa 
lo  custodia.  por  si  en  cl  fuluro  es  prcciso  accedcr  al  mismo. 


('onlralacidn  de  data* 

El  valor  de  la  informacidn  en  esa  sooedad  del  saber  a  la  que  nos  referiamo*  aero 
aumenta  cada  du  La  comervialieacidn  de  lav  bases  de  dalos  es  ya  muy  imporunte.  y 
la  aperlura  de  esa*  autoptvtav  de  la  informacidn.  de  las  que  tanto  sc  escribe,  bar!  ertea 
cxponencialmentc  esc  mere  ado. 

I  .os  principales  conlratos  von  k*s  siguientes: 


Ikstribuadn  dr  la  informaetdn 

El  contralo  de  distnbuctdn.  segun  PAEZ  MANA“  "consiur  rn  k 
eomercializacidn  de  la  hast  dr  datos.  durantr  un  citrto  periodo  de  tiempv  a  cambto 
de  un  preew.  la  que  angina  la  obligaeidn  par  parte  del  titular  dr  la  base  de  apartar 
lot  dalos  que  dtbtn  hacertr  acceublrs  a  lot  futurvs  usuarios.  rn  una  forma  adecuatk 
para  tu  tratamimto  por  rl  equipo  informdtiro  de I  dnthbuidor.  v  ceder  a  ette  ultimo. 


*  KXtGE  PAEZ  MASlA  HatrsdrdahH/uhJuot  CaaJoc  CSIC.  VUdi*i  l  W4.  p**  l» 
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n  txcluuui  o  (ompartuios  con  oiroi  diaribuidores.  los  derechos  dr  eiplotacuin  que 
prtsiamrnie  haya  adquirido por  cesidn  o  iransmhiOn  dc  lot  autoret  de  lot  obras 


Smmiuro  de  information 

Mcdiantc  cstc  conuato  cl  usuano  pocde  acccder.  Mcmprc  quc  k)  precise,  a  Us 
Uses  de  daios  del  distnbuidor 

Comp/a 

Es  un  cocurato  pot  el  quc  el  titular  proptcurio  de  una  base  dc  datos  vende  a  otto 
mu  copia  de  d«a  con  U  poubilidad  dc  que  el  adquircnlc.  a  su  vcfc  pueda  no  sdlo 
«urU  vino  me/claria  con  ottas  proptas  pura  despuds  comerciar  con  cllas.  Todo  cllo. 
pot  utpocsto.  respetando  lo  dispucsto  en  la  Ley  5/1992. 


CesiOn 

Es  un  cuo  porccido  al  anterior  salvo  quc  sdlo  ve  pemute  el  uvo  por  el  ccsaonano 
de  b  base  sin  que  sc  le  permits  la  transmisidn  posterior. 


Conpra  de  eliquelai 

En  este  caso  no  se  pemute  al  comprador  la  rcprodocctbci  de  las  ctiquetas  y  si  su 
nrqieo  para  envios  por  correo. 


Centratacidn  de  sersk'ios 

Los  contratos  de  servickxi  informittcos  mis  import  antes  son  los  siguientcs: 

-  Consultoria  infortnitica. 

-  Audituria  mformilica. 

-  Formacidn 

-  Scguridad  informitica. 

-  Contratacidn  dc  personal  informJtica. 

-  Instalacidn. 

-  Comunicacioncs. 

-  Scguros. 

-  Rcsponsabitidad  civil. 


r 
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Contrato*  rampltjot  I 

I  n v  contralov  complcjos  von  aqucllot  que  conlcmplan  lav  vivtcmav  infcrmibci 
como  un  lodo  incorpor  undo  al  objcto  del  miuno.  unco  cl  hardn we  como  cl  j<>/r»«r»j 
algunm  vctviciov  deternnnadov  Lov  iniv  uvualcv  von  lov  viguientet: 


CoMralaeidn  global  o  partial  de  tervicios  inform, iluot  (outsourcing) 

Sc  iraia  dc  la  vubconlratactdri  dc  lodo  o  dc  parte  del  traha/o  informitKO  medu* 
un  contrato  con  una  empreva  externa  que  ve  inlegra  en  la  curatcgia  de  la  emprai  j 
have  a  divcAar  una  volucidn  a  lov  problemav  cxivtcntcv 


Contrato  dr  rripaldo  (back  up) 

Su  final idad  ex  avegurar  cl  manicnimiento  dc  la  actividad  cmprcurial  en  el  cue 
dc  que  circunvtanciav  previvtax  pero  inev  itablcv  impidan  que  viga  funcionand)  d 
vivtcina  informilico. 


Contrato  dr  Haw  rn  mono  (turn  key-package) 

tn  evia  clave  de  contmtov  cl  proveedor  ve  coinpromctc  a  entregar  cl  votene 
ere  ado  doode  cl  clicrue  le  indiquc  y  avume  la  rcvponvabilidad  total  dc  duet* 
rcali/acidn.  prucKav  mtegracidn  >  adaptacidfl  al  entomo  informilico  del  clientc  uau 
Idgico  como  flxico. 


Control, >  dr  iwmnittro  dr  energta  inform, Hu  a 

Como  vcilala  GETE- ALONSO  y  CALERA*  cv:  ~aquel  mrdtantr  rl  que  una  pan 
-el  tumimtltador-  poteedor  dr  una  untdad  central  que  permanece  en  mu  Uxala, 
pone  a  diipoueidn  del  uiuano  la  mi  una.  lo  que  le  penrntr  rl  acceto  a  lot  'toft*  art', 
a  cambio  de  un  precio". 


*  MARIA  DEL  CARMEN  GETE- ALONSO  >  CALERA  la  eerntnuaertm 
U  lay  nUm  )OOS.  SUJnJ  nu>u  IW.  |U*  10 
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6.7.  EL  INTERCAMBIO  ELEC1  RbNICO  DE  DATOS 

En  la  <poca  en  quc  vnimot  todac  lac  orgaiu/actonet.  tamo  privadat  como 
ptfcbcav.  drbcn  mcjorar  \u  ptoduclmdad  ctammando  lot  diferenlet  (adores  que 
pwden  influtr  en  lot  rcsultadot. 

Entre  ctlot  faclocet  \c  cncuemran  algunot  dc  especial  importance  como  la 
ftduccW*  dc  codes.  U  agilincidn  admimuraiiva  y  la  climinacidn  dc  mores.  Euo  te 
pxdc  mcjorar  climinando  intennedianot  enire  el  on  gen  y  el  dctnno  de  lot  dalot. 

Como  fruto  de  csia  neccodad  de  comumcarve  con  rapidc/  y  tcguridad  en  el 
msndo  actual  nace  el  Inter  cam  No  Elect  n^oKO  de  Dalot  coooodo  intemaoonalmente 
px  nt  ttglat  en  ingles  EDI  (Electronic  I  Kuo  Interchange)  que  ct  un  tiucma 
informal! ico  quc  pcrmilc  lat  trantaccionrt  comer cia let  y  adrmruOrativac  dircvtas  a 
IricCc  del  cocnpMador  tin  neceodad  dc  reali/ar  ningun  trirmie  Sigrufica  ahorro  dc 
brapo  y  de  popel 

ftdemot  defmir  el  EDI  como  cl  iiMcrcamtwo  de  dalot  en  un  formal o  normal i /ado 
eotrc  lot  tide  mac  informiticos  de  qutenct  partKipan  en  traittacoones  comercialet  o 
adnuenirauvat. 


Un  tattema  de  ccic  tipo  ha  dc  cumpiir  tret  requitnot  hiocot: 

-  El  intcrcambio  sc  ha  de  reali/ar  por  mediot  elcctrdmcov 

-  El  formato  licnc  que  ctlar  formal  i/ado 

-  La  cooexidn  ha  de  «r  de  computador  a  computadnr. 

Ea  un  urterna  EDI  ton  las  aplicacionet  mformiticat  de  lat  cmprrta*  o  de  lat 
Adminntracionet  Pdblicas  lat  que  "dialog  an"  enire  tf  sin  necesidad  dc  intervencidn 

banana 


Signilica.  y  edo  ct  lo  que  not  iniercta.  el  reempfa/o  del  pa  pel  como  clemcnto 
ancial  de  la  vinculactdn  y  comunkacidn  ncgocial  por  un  toporte  mformitico 

Lat  razonrs  quc  tc  poo  den  ccgnmir  para  la  implantacidn  del  EDI  ton: 

-  Precision 

-  Velocidad. 

-  Ahorro. 

-  Benefkios  langiblev 

-  Satisfaction  del  diente. 
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D  EDI  a  aplicahle  en  cl  comcrcio.  la  mdustna.  cl  trassponc  >  Ijs  difcreaa 
Administracioncs  Publicas  1 

I  j  aceptacuin  legal  del  EDI  cs  un  tcina  do  uima  impoftmcia.  un  duda  dcuia  dc 
la  orgam/aodo  del  inismo  subyxce  un  cntcndimicnlo  emre  la*  partes  que  intenieaa 
quo  c'Un  dupucaav  a  accptar  una  sene  dc  obligacioncx  y  dc  rcnunciar  a  cicro 
dec  echos  a  efcctos  del  buen  (uncionamtciMo  del  uticma. 

Eslos  dcrcchos  v  obligac  tones  sc  plasman  cn  los  c-orrespondicnlcs  coritratos.  d  I 
contrato  dc  inicrcambro  de  informacidn  y  el  contralo  ion  lav  compaAias  dc  1 


6.8.  LA  TRANSFERENCE  ELECTRONICA  DE  FONDOS 

Una  Transiierenda  I.icctrdnic.i  dc  Fondos  (a  panic  de  ahou  TEFi  puede  ugmfiar 
muchas  cs*sas  Si  consider  xmos  un  concepto  amplio  de  la  muma  puede  abarcar  kd> 
tipo  de  envfos  dc  fondos  que  sc  realicen  por  nscdios  electrOniccs 

Se  puede  defmir  como  la  iramfccencia  de  fondos  que  dc  forma  aucomkica  a 
cjccuhtda  ininediaia  y  iimullAncamenic  a  la  orden  dada  por  cl  liiular  de  la  cuexi 
bancaria  por  medio  de  un  si  sterna  elcctrdnico. 

Pndctnm  considerar  que  existen  cuairo  (ipos  principals  de  TEF  que  ban  dc 
apareciendo  en  el  tiempo.  cons  iven  y  son  operative*  en  la  actiulidad: 

-  Transfcrencias  entre  cnlidades  financierav 

-  Transferencixs  enire  otrai  organ  i/jci  ones  y  las  entidadrs  financieras. 

El  usuario  colabora  y,  mcdiante  las  taryclas  dc  pldstico  y  los  cajcra 
juiori videos,  obliene  una  sene  de  servicios  bancarios. 

-  Se  poicncia  cl  svstema  con  terminates  en  los  puntos  4c  veata  y  el  banco  ea 
cau. 

Por  mi  gran  trascendcncia  social  nos  referiremos  a  continuacidn  al  fendmeno  <fc 
las  tarjetax  de  pllxtico. 

Las  LarjeSas  de  plislico  o  taryclas  como  medio  de  pa  go.  por  ahora  la 
denominaremos  asl.  con  \u  coiuinuo  y  atcendcnle  desarrollo.  w  estin  conviniendoca 
un  medio  de  pago  cada  vez  mas  imponantc  cn  cl  trifico  mercaatil  sustiiuyendo  pocoi 
poco  al  dincro  papel  y  el  cheque. 

La  Umdn  Europea  siempre  sensible  a  aquellos  probJcnxs  que  puedan  tens 
alguna  trascendcncia  de  cara  a  la  crcactdn  del  mercado  usico  y  aximivmo  a  U 
constitution  de  la  Europa  de  los  ciudadaiws.  ha  dedicado  uu  ComumcacnSn.  dot 
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RaoexnitKKioc-t  y  uiu  Directiva  a  los  «wnv  dc  pa  go  clectrfatco.  mi 
aornuhracibn  e  intcroperabtlidad. 

Aunqoc  existen  nous  comuncs  entre  lot  diterso*  tipos  de  tarycUs.  la 
dfaeacuctbn  entre  ellas  vicne  dada  por  mi  contcnido  contractual  (dcrechos  y 
cbhjaooncx)  con  independcncia  de  la  dcnominackta  que  les  otorgue  la  ctuidad 

cursor* 


Tarjrta*  propUmcnte  de  crtdifo 


Son  aquellas  quc,  cotno  mi  nombre  indka.  proporcioiun  un  crediio  al  titular  de  la 


TarjrUt  de  ckbito 

Emiiklax  por  Kntidadct  de  Crfdito.  pcrmiten  a  mix  usuarios  reali/ar  compras  en 
In  establecimicntos  comercialc*  y  a  la  s«  ofreeen  uiu  gama  de  opcracioncs 
bucarus  En  principio  no  cstin  limitadux  a  un  solo  cxtahlecimiento  comcrcial 
vtaculaodo  nccctariamcntc  la  taijeta  a  una  cuenu  comentc  bancana. 

Estos  dot  tipos  de  taryetaa  nos  pemutcn  utih/ar  los  cajcros  automincos  y  los 
termifules  puntos  de  venta 


B  Cddigo  Europeo  de  Buena  Conducta  en  materia  de  pago  clectrbnico  contcnido 
ca  la  Rccomendacibn  dc  8  de  dtciembre  dc  1987  rcspecto  a  los  contratos  dice: 

’a)  Uu  ccmtratos  celebrados  entre  ku  emtsores  o  su  repretenumie  y  Un 
prestadores  o  lot  contumidorrs  rrtesurdn  la  forma  r  ten  la  y  drbrnin  ter 
objeto  de  una  peticidn  previa.  Deftnirdn  con  precisidn  las  condicionei 

generate!  y  espeeifieeu  Jet  aenerjer. 

b)  Se  redactor  tin  en  U/t  lengua/s  ofieialet  del  Hstado  miembro  en  que  se  Lava 
eelebrado. 

0  Cualquier  tarifaadn  del  barrmo  de  cargos  se  fljard  con  transparency  te- 
ruendo  en  cuenta  Uu  cargos  y  net  got  reales  y  no  supondrd  ningun  obsldculo 
a  la  Ubre  competency. 

d)  Todas  las  condiciones.  stempre  que  s eon  ccmforme  a  la  Ley.  scran 
hbremente  negociables  y  te  establecerdn  claramente  en  el  ccmtrato. 
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e)  Ia it  ctmdickmes  espeelficas  de  rescisidn  del  ctmlraio  te  precitardn  y  <v«sa  ! 
nicardn  a  las  partes  de  la  tele  brae  idn  del  coairato. " 

En  sfntesis  !»>  que  se  ho  sea  cn  csta  Recomcndactdn  es  transparencia.  >  que  dab  , 
la\  condictoncs  cn  que  sc  esubJecen  evtas  cootratos.  b  pane  mis  fuerte  no  ulp  • 
hcncficiada. 

En  el  rmindo  cmprcsan.il  b  implantacidn  de  ettas  nuevas  iccnologbt  por  partr  * 
las  Entidadcs  Financicras  ha  favorccido  una  cvolucidn  histdoca  en  cl  concepto  de  b 
que  era  la  tesorerfa  cn  bs  empresas.  que  ha  pasado  de  ser  una  tesorerfa  psinmetn 
administrative  a  ser  una  tesorerfa  de  gcstidn  que  puodc  y  dehe  genorar  hcncficto*  por 
<1  tntsma. 

El  conocimicnto  mmcdiato  de  posK tones  y  operas  iunes  y  la  transference  can 
mstanUnea  permits  reducir  provisioncs  y  al  mismo  tiempo  siluar  cl  dinero  en  d  l«pr 
dondc  mis  prudu/ca. 


6.9.  LA  CONTRATACldN  ELECTRONICA 

En  una  pnmera  aproximacidn  al  tema  por  contratacidn  clcctrdnica  o  contmarta 
por  nxxbm  elect rcSoicos  sc  poetic  entender  todo  inlcrcambio  elect rdmeo  de  due*  « 
documcntos  cuyo  objeto  sea  b  contratacidn. 

Sin  embargo,  cn  todos  cllos  no  se  poctan  bs  cbusulas  del  cocurato  cn  el  mi  too 
memento  del  mtcrcambio  electrdnico.  Asl  semes  cn  lo*  cpfgrafe*  antcnorc*  que  ur» 
cl  mtcrcamlHO  electrdnico  de  daios  (EDI)  como  la  transfcrcncia  clcctrdnica  tic  fender 
(TEF)  son  cl  resultado  de  un  macrocontrato  anterior  rcalirado  poe  cl  uvirai 
traditional  cn  cl  que  bs  partes  han  fiyado  I  os  tdrmino*  del  mismo  y  cn  el  que  moctai 
veces  lo  que  haccn  es  renunciar  a  una  sene  de  posiblcs  dereebos 

En  esie  epfgrafc  nos  refehremos  a  otro  tipo  de  contratacidn  clecirdnica;  aqaclb 
cn  la  que  cl  contrato  se  ctuMcce  en  el  memento  de  b  transaccidn  electrdnkra  sin  qa 
m.  luja  pat  lad  o  nada  uctesaiiaiiietuc  con  amcrlondad 

M,  SCHAUS"’  dice  que  cn  b  format- ton  del  contrato  cstas  nuevas  tecnologia 
influ  yen  desde  tres  dpticas  diferemes: 

-  Desde  cl  grade  de  inmcdiatc/. 


“  M  SCHAUS  fanvKtrm  dr  ,«raM.  Comm urarKfe  de  h  efene  y  de  te  ecrpee.Um  d 
ofeeeere  La  1  elide?  de  Un  tvelretm  mlenternmalei  eetotiedot  poe  medttn  eteetedmu  ni  CKO. 
M»lnd.  I9fck.(ri«*  21  y  m 
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-  DevJc  U  calidad  del  diilogo. 

-  Desde  la  scgundad. 


Dn4r  H  grado  dc  inmcdiilri 

Ea  maestro  dcrccho  existe  dispandud  de  cnlenos  enlie  fl  C'ddigo  Civil  )  cl  dc 
Ccmercto  a  la  hoc*  dc  dclcnrarur  en  qud  momcnlo  sc  perfection*  cl  coMraxo 

El  artkulo  1262  dd  Cddigo  Civil  dice:  "El  eonsentimienio  s 1  menifiesu  por  el 
cmnrso  de  la  ofena  y  de  la  acepiacidn  i obre  la  com  v  la  cau m  que  hen  de  constituir 
d  contrato  la  aceptacidn  hecha  por  carlo  no  oblige  a I  que  hi:o  la  ofrna  tino  deule 
far  lUgd  a  su  conocUmento.  El  contrato.  en  lal  caso.  re  presume  celebrado  en  el 
kf*r  en  que  se  hi;o  la  ofena.  " 

Pee  mi  pane  on  cl  anfculo  54  dc!  Cddigo  dc  Comcrcio  seflala:  "Lot  conlralos  que 
M  ctlebren  por  correspondence  quedaran  perfecclonodos  cuando  Us  conlraianles 
knUcren  aceptado  hi  propuesla  " 


Dndr  la  calidad  del  d  La  logo 

Entrc  los  difcrcntc*  proccdimienios  exittcnic*  hoy  dla  cl  que  may*  sc  asemeja  a 
n  ddlogo  ex  la  videoconfcrcncia.  Ea  clla  los  intcrlocutorcs  pueden  ^ircciar  no  sdlo 
d  cooienido  del  mettsaje.  si  no  lambtdn  la  cnconacidn.  gestos  y  xilcnciox 

El  tettfono  ofrccc  idcnticas  posibdidadex  cxccpto  que  kw  imcrtocutorcs  no 
peeden  sersc 


Dcadr  la  arguridad 

Desde  cl  punlo  de  visia  jurfdteo  cl  cooccpco  dc  scgundad  ic  icficcc  a  la 
Meatifkacidn  dc  la  idcniidad  del  usuarso  y  a  las  hucllas  que  deja  la  tramaccidn  y  que 
puedee  see  utili/adas  como  prucha. 

Vemos  que  del  grado  del  cumplimtcMo  dc  esiot  tics  aspect  ov.  admitiendo  que  se 
dn  ea  la  contratacidn  electrdruc*.  depende  en  gran  pane  su  inclusion  uimo  una  nueva 
forma  de  contratacidn.  con  sus  peculundadev.  pero  dentro  de  una  ortodoxia 
coacractnal. 


A  fm  de  comprohar  si  existc  un  acucrdo  de  sol  unlades  cstie  las  panes 
coccratanics  a  los  efcctos  del  ait.  1261  del  Cddigo  Civil  cs  unportadc  clasificar  los 
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diferrntet  tiprn  dc  cootrataodo  c  lectiOn  »ca  que  se  pueden  prcsentar  cn  funciOn  dc 
cdmo  «c(da  la  parte  contratante  cnusor*  y  la  parte  contratante  rcceptora.  ha 
umplificar  consider  arcmos  que  amba*  pones  actdan  dc  la  miima  forma,  aunque  to 
supondria  ningrin  problems  que  csto  no  loose  avf. 

Sin  desear  vcr  cthaustisos  cortsidcramos  que  se  pueden  present*!  Ion  sijuxatts 
cason: 

a)  ComumcactOn  on  ire  do*  computadorcs  person  ales 

b)  ComumcactOn  enlre  van  o»  computations  person  ales  a  travOs  de  un  Centro 
de  Compensacidn. 

c)  ComumcactOn  entre  dos  ststemas  informitiem 

d)  ComumcactOn  entre  vanm  ststemas  informittcos  mediante  un  Centro  dr 
CompcnsaoOn 

e)  ComuntcaoOn  entre  dm  Sisteinas  Expcrtos 

lass  eases  b)  y  d)  simplemente  Im  apun tamos  para  dejar  constancy  de  sa 


tin  Im  cases  a)  y  b>  cl  computador  se  Umita  a  transfenr  una  infocmactOn  qic 
contiene  una  expretidn  de  voluntad  contractual. 

En  pnncipso.  salvo  que  cxistan  probiemas  de  autcntificaciOn  a  Im  que  not 
referiremos  mis  adclante.  entendemm  que  esta  sohtmad  transmitida  forma  parte  de  ut 
negocio  juridico  vilido. 

El  proNcma  se  compile*  cn  Im  cases  c)  y  d)  cuando  Im  que  estin  a 
ComumcactOn  son  dm  tistemas  uiformtocm  (eompotadores)  y  lo  que  se  transmile  no 
se  limiia  a  ter  solo  una  tnformactOn  que  mcorpora  una  voluntad  contractual,  suio  que 
dsta  puede.  venir  alterada  por  una  sene  de  aspect  os  que  irtcorpora  el  propio  sistemi 
mformitico. 

Probiemas  que  se  nos  pueden  presentar  cn  la  central  actOn  elcetrOniea  son: 
identtdad  de  Im  eontratantes.  extension  o  no  de  cstc  tipo  de  cootrauoOn  a  lodot  |M 
contrat os.  tcuindo  y  ddnde  se  concluye  el  contnto?.  auiemtficaciOn.  factor  tiempo  y 
conftdenctalidad. 

Los  avances  (ccnoiOgico*  y  la  adaptaetdn  del  Derecho  a  cstas  nuevas  situacioncs 
deben  superar  Im  obsticulm  que  la  gencrali/aciOn  de  una  forma  de  contrataciOa 
presents 
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6.10.  EL  DOCUMENTO  ELECTR6NICO 

Ei  corncntc  idcntilicar  documento  con  sopoete  papel  >  escritura.  pcro  ctfo  no 
ixiufrc  cs  ad. 


Pm*  ROUANET  MOSCARD6"  un  documento  CV  ~l/n  objeto  nnrmalmrnie 
ettnto  rn  rl  que.  por  tanto.  if  ptaima  algo  meJumte  Irtrat  u  otroi  signoi  trazadoi  o 
mprtun  sabre  rl  pope!  u  otra  superfifir.  ptro  q ur  excepcionalmrnte  puede  no  trr 
eunta.  y  ft  un  ob/eto  rn  tl  que  puede  representarse  un  hecho  natural  o  un  afuerdo 
it  \xrluntadti  Ihfcho  > vluntano.  arte  o  negocio)  o  trr  rl  reiultado  dr  una  aetMdad  o 
de  un  pracedimiento.  “ 

PRIETO  CASTRO  define  el  documento  como  cl  objeto  o  materia  en  que  cornu 
por  etcrilo  una  declaration  de  voluMad  o  de  cooocinucnto  o  cualquier  expretidn  del 
pemamieoto.  segdn  tesulta  de  lot  preccpto*  de  U  Icgnlacitta  poutiva 

Lot  conccptot  anicnofcs  lienen  en  comdn  que  hablan  de  un  escrito.  aunque  el 
pnmero  admiic  la  cxccpcionalidad  de  que  no  lo  tea. 

Escnbtr.  tegdn  el  Ihccionario  dr  la  Ixngua  EspaHola.  ex  ~Rtprtitnktr  lat 
palabras  o  lat  ideas  eon  Iftra i  u  otroi  signal  trazadot  rn  pope  I  u  otra  superfine.  ~ 

Por  Unto,  el  documento  no  ha  de  ter  tiempre  pope),  tino  que  puede  ter  otro 
objeto  o  materia  y  la  representation  de  lat  palabrat  o  lat  ideat  puede  hacerte  por  otro* 
0  foot  dull  Him  de  las  letrav 

Die  hoi  signos  pueden  scr  la  eodificacido  brnaria  y  la  vuperficic  dittinu  del  papcl 
puede  ter  un  soporte  information. 

De  todo  ello  podemos  dedueir  que  el  documento  clcctrdnico  pertenece  a  la 
catejoria  de  lot  document  os  en  teniido  jurtdico. 

FJ  problema  para  una  accpucidn  general i/jkU  de  evte  tipo  de  documento  puede 

Mu  co  la  nccc.iidad  dc  la  Kguridad  dc  que  la  uaduecidn  dal  Unguap  a  miquina  a  un 

lenjuajc  natural  sea  la  correcta  y  no  en  la  propia  esencia  del  documento. 

Corncidimos  con  DAVARA  RODRIGUEZ  cuando  dice  que  el  problema  dc  la 
firma  que  conllcva.  en  muchot  catov  la  autenticacidn  del  documento.  puede  ter.  un 
dida.  el  caballo  dc  Natalia  para  una  total  aceptactdn  a  cfcclos  probatonos  de  cite  tipo 
de  documento*. 


JAVlfcR  ROUANET  MOSCARD0  Valor  pM""  pox  not  Jet  doo 
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L'n  document**  even  to  csti  compoevlo  dc  dato*  y  dc  impetudn  en  un  vopoot  la 
imprcvion  comprcnde.  la  nuyort j  dc  U*  vece*.  La  rcpreventaciOo  dc  un  hetho  y  k 
firma 

La  firma  Mick  tencr  tree  funciooev  idcntificativa.  dcclaranva  y  prohatoru 

Eslo  vignifica  que  wrve  para  idcntificar  quien  ev  cl  autor  Jel  documento.  deebnr 
que  cl  autor  dc  U  firma  avumc  cl  cuntcmdo  del  mivmo  y  percutir  verifies/  u  cl  nU 
dc  la  firma  ev  cfcctivamcntc  aquel  que  ha  udo  idcntificado  c*mo  ul  en  cl  caw  de  k 
propia  firma 

Nota*  importance  dc  la  firma  son  la  hahitualidad  y  *a  autOgrafa  u  ologriii, 
puota  dc  pufio  y  Ictra  por  cl  firmantc. 

Havta  cl  preventc.  fete  ha  wdo  uno  dc  lov  pnncipakv  vivtctnac  dc  aulcnoficaot*. 
aunque  no  n  cl  tinico;  pero  en  cl  futuro  tendra  que  eer  uictituido  en  numerotai 
ocavioncv.  l-o\  avarice*  tecnoldgicov  evtin  obligando  a  que  la  firma  manuvenu  ia 
vuvtituxla  por  otro  viviema.  en  c*tc  caso  clcctrdmcO- 

Una  firma  digital  o  electron ica  e*  una  vcftal  digital  re prc.cn Lada  por  una  cadna 
dc  bitv.  Este  npo  dc  firma  ha  de  ter  vcvrcta.  ficil  de  producir  y  dc  rccoooccr  y  dilial 
dc  falvificar. 

En  cl  caw  dc  la  firma  tnanawnu  cl  fedauno  puMico  da  k  de  la  auccnticidad  dd 
documcnto.  Kl  cmplco  de  la  firma  digital  obliga  a  la  apancidn  dc  una  nueva  figura  d 
fedatario  elect  rdroco  £«e  ha  de  wr  capar  dc  venficar  la  aulcMicidad  dc  lot 
documentor  que  circulan  a  travCc  dc  lav  linear  de  comunicaciom. 

La  cualquier  caw  lov  avanccv  lecnold^icov  .jue  *c  ot-ii  pnducicndo  qui/a*  en  ut 
futuro  ccrcano  hagan  acontcjablc  darlc  un  cartctcr  autdnomo  a  me  npo  dc  prucha  ecu 
todot  lov  probkmav  que  evto  pueda  conlkvar. 
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6.12.  CUESTIONES  DE  REPASO 

I  iCuil  cs  la  diferencia  emre  InforaiiUca  Juridica  >  Dcrecho  Informkico? 

2.  tCu4les  son  los  pemciptos  de  U  LOPD? 

3.  iCullcs  son  los  derechos  painmonialcs  en  el  derccho  de  autor? 

4.  tQ«e  cs  la  multimedia? 

5.  ,.Que  es  una  cstafa  infoemitica? 

6  Real  ice  una  clasificacidn  de  los  contratos  mfonniticos 
7.  tQudeselEDI? 

S.  <,Cuil  es  la  diferencia  entre  una  taryeta  de  crtdito  y  una  de  drtnio? 

9.  LCuil  es  la  diferencia  entre  contratacidn  informilica  y  contratacido 
ekctrdoiea? 


10.  LQui  es  un  documento  electrdnico? 
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CAPftULO  7 


DEONTOLOGfA  DEI,  AUDITOR 
INFORMA TICO  Y  C6l)IGOS  ETICOS 


Jorge  Ptiez  MaAd 


7.1.  INTROOUCCldN 

En  el  denominado  "nuevo  ordcn  mundial".  caractcn/ado  por  una*  directrices 
cccedmicas.  cn  pcrmancntc  cambto.  estrectamcnic  vinculada*  a  to*  coniiouos  avance* 
iccooldgicov  iratar  lema*  relactonado*  coo  la  deontotogU.  la  <tica  o  la  moral,  implica 
aecctariamente  hacer  un  alto  cn  cl  camino.  dejar  al  lado  la*  milliipto*  y  a  menudo 
abumla*  motivacione*  ccondmico-profeMonalc*  y.  *in  la*  premura*  dcrivada*  del 
ntroo  de  vida  quc  aparcntemence  c*u  socicdad  impooe.  rcposadamente.  coo  *o*icgo. 
aientrarve  cn  cl  imindo  inlcmo  subjetivo  de  la  coociencia  para  observar  la  conccpcidn 
kumaftiuka  que.  como  persona*.  6*ta  pooc  de  manifiesto  como  miximo  exponente  de 
bfeopu  y  autCntica  idcmidad 

L  na  vm  realuada  dicta  prospcccton  intcma  *e  cstari  cn  condicione*  de.  dada  la 
iatrfnseca  naiuralera  social  del  hombrc.  poder  at  is  tar  en  cl  mundo  extemo.  dondc  d*tc 
icaliza  »u  conviveocia.  observando  los  valor  cs  morale*  imperantc*.  reprcsentativo*  del 
ptdo  dc  evolucidn  social  de  la  comunidad  quc  lo*  ha  asunudo  como  propio*. 

La  primcra  obscrvacidn  deberia  inducir  a  rcflcxionar  sobre  to*  aspecto*  mi* 
fotimo*  iigado*  a  la  vida  interior  de  cada  cual  (creencias.  sentimicnio*.  finalidad 
Itieotogica.  proyccto  dc  vida.  etc.  I.  que  gtobalmcntc  considcrado*  tan  de  poner  de 
aunifiesto  la  propia  e  intrinseca  realidad  individ ualt/ada.  e*  decir.  la  gcnuina 
ilentidad  personal. 
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Etta  identidad.  inherence  a  IcxJj  person*.  deberfa  c«i at  tustcniada  en  kx 
principios  morales  socialmcnte  acusadot  y  pretervados  a  lo  largo  lie  lot  tierapot, 
principios  que.  protenienles  del  ctpfritu  >  susceptible'.  en  viriud  del  lihre  alhedrio.de 
tervir  o  no  dc  guia  a  la  conducta  extcriormcnce  mamfcstida  de  lot  individual, 
permnen  difercnciar  a  dtcot  del  resto  dc  seres  vivo*,  qoc  caiecen  dc  esa  lihcnai  de 
cone  iencu. 

Si  bicn  la  moral  individual  csti  cnraizada  en  forma  ilrica  y  personal  izada.  U 
ncccsidad  de  relacionarse  y  convivir  unoa  mdividuot  con  ouot  en  comunidad  eujt 
uiu  cicrta  adaptacidn  de  las  diferenccs  concepciones  morales  individualcs  a  unu 
deierminadas  normat  dticas.  .socialmcnte  asumidas  por  lot  miembeos  integrante*  de  U 
comunidad.  qoc  facilitan  una  convivencia  pacific*  y  enriquecedora  corrnin 

Estas  norma*  socialet.  reOcyo  dc  la  idiotincrasia  de  las  diferentes  comumdafa, 
ponen  de  mamfiesio  los  usot  y  costumbrcs  qoc  rcgulan  medid  icamenCc  las  relactoaa 
enerc  las  personas  y  grupot  que  lux  confomun.  considcrdndose.  »m  precisar  ia 
normali/itcidn  positiva.  implkitamcntc  acepcadas  por  todos.  *  rcprctcntaiita*  de  k» 
principios  sociales  Nksicos  reguladores  dc  dtchas  rclacionrs  (buena  fe.  cottesb. 
respeto.  solidaridad.  etc.). 

C'onviene.  en  cste  pumo  de  la  reflexidn.  rcsaltar  el  hedu  dc  que  los  pnoogwi 
morales,  cn  contraposKiOn  con  lot  precept  os  nonnaiivot  mairmkrt.  dehen  «e 
asunudot  individual  y  coleclivamcnic  como  proptos  en  firma  solunuria  y  cot 
indcpendcnciu  dc  que  se  hay  a.  o  no.  establccido  expresamener  la  obligacidn  material 
de  cumplirlot.  ayudando  a  configurar  una  conccpcidn  dtica  intrma  de  lo  que  etti  bn 
y  lo  que  esti  mat  que  constiluye  la  pone  fundamental  del  patrrnonio  c spiritual  de  In 
personas  y  grupot  integrantes  de  la  soctedad  que  los  aceptan  ccmo  tuyoa 

Es  precisamente  esa  canactcrfstiea  dc  vohintanedad.  de  fntimo  convcncimicnaode 
su  Hloneiilad.  generada  por  una  previa  tcnsibtlizaeidn  person  il  y  colcctiva  tofett  n 
validc/  para  el  cumphnucnto  de  los  fines  ickokkgkot  dc  lot  individual  y  tocicdata 
que  los  asumcn.  lo  que  configura  a  lot  principios  morales  como  fuente  primordial  dd 
derecho  positive  y  eje  genuino  v  aukntico  de  la  cvolucidn  social  de  la  humanidad. 

Junto  a  estas  normas  dicat  innutcriaks.  cocxisten  otras  positis  at  que  rcgulan.  a 
form a  coast iv  a.  lot  deberes  y  dcrechcn  dc  los  ciudadanct  intcgrados  en  cadi 
colectiv idad.  Estas  normas  positivas.  elaboradas  en  virtud  dd  "contrato  social"  que 
los  ciudadanos  implkitamcntc  tuscriben  con  su*  gobemantes.  se  establcccn  con© 
reguladores  de  aquellos  aspectos  que  se  consider*  sieben  cstr  clara  y  expresamene 
estipulados.  a  fin  de  detemunar  los  principios  legates  que.  dc  iMigado  cumplitmceax 
rcgulan  los  deberes  y  dcrcchot  que  rigen  en  la  socicdad  y  qut.  por  code,  pueden  ie 
imperativamentc  cxigibles  a  cada  uno  dc  tut  miembros 


www.FreeLibros.me 

»m> _ CAXTVio  t  aosiwnGl*  per.  Auono*  iNroavunco  y  cOtxcos  incus  m 

La  compkjidad  de  lax  relaciones  colcclivax.  la  protccodn  de  los  mix  dcbilcs 
con  la  lox  abuses  dc  los  mis  fucncs  y  la  ncccstdad  de  cstablccee  unax  normax  de 
compoiumicnio  prccixax  que.  conocidax  por  index.  xirvan  de  cauoc  iddnco  para  la 
tolacidn  cfcxtix  a  de  los  posibles  conflicts  pcrsotuks  qxic  pocdan  generate  en  el  xeno 
de  la  conuiiudad.  ha  fundamentado  el  cUablccinucnto  y  legitimidad  de  dicltox 
principxos  legalcx.  si  been  sc  cxigc  de  extox  que  exten  imbuidox  por  lox  peincipiox 
morale*.  colectivamente  asunudos.  y  que  rcxpetcn  lox  dcrccho*  humanox 
ntemacionalmcnte  reconocidox  coeno  conformadorex  del  derecho  mondial. 

Ante  exta  dicolocnia  de  normax  morales  y  matcriaks.  los  cddigox  deontoldgicos 
reprcscnun  un  cieeto  punio  de  accrcamicnto  y  encucntro  entre  ambax. 

E«os  cddigox  toman,  de  lax  nonius  morales,  xu  faceta  intrinsccamcnte  dfica,  y 
tetlejan  el  xentir  may  oniano  de  los  profcxiorukx  a  lox  que  xan  dingidox.  de  lo  que  xe 
ccnsidera  como  un  adecuado  compartamicnto  dtico-profextonal.  simcndn  de 
•eprobacidn  moral  de  aqucllas  conducias  con  Iran  ax  a  lo  rcgulado  en  los  mixmox. 

Drhr  tenerxc  en  x'uenta  que  lodo  xtfcfigo  dconfolOgK-o.  enfendido  como  coajuMo 
de  prtccpcox  que  extabJex-cn  lox  deberes  exigible*  a  aquellos  peofcsionalc.s  que 
eyercnen  una  dcterminada  actividad.  tiene  como  finalidad  iclcoldgico  la  de  inctdir  en 
m  cocnportamientos  profcxionaks  extimulando  que  dxtos  xe  ajusicn  a  determmadox 
fnnciptos  morales  que  deben  scrvirlc*  de  guia. 

El  hecho  de  que  los  cddigox  deontoldgicos  deban  see  elaboradox  por  los  propiox 
pecrfexionales  en  el  marco  de  los  colcgios.  axociaciones  o  agrupacione*  que  lox 
Kpresentcn.  y  asumidox  en  forma  gcneralirada  como  forma  de  autoercgulacidn  dtica 
de  va  actividad.  pcrmile  que  dstos  inodan  en  algunos  aspectox  -tnaplicablex  al  texto  de 
ciuladioox.  ya  que  fuera  de  su  cxpccffico  campo  de  aplicacidn  xerfan  inefkaccx  e 
iaoperantes  .  sobre  lox  que.  en  benefido  de  la  propia  comunidad.  estabkeen  unax 
deteimitudax  poutax  dc  conduct*.  a  fin  dc  cxittr  concukat.  pot  simple 
desconocinuento  o  apatia  dtko-intelcctual.  dcrechox  de  terceras  personas. 

Los  principles  comcnidos  en  los  eddigos  deontoldgicos  cxigcn  aximixmo.  por  xu 
cspecilkidud  moral,  que  lox  propiox  profesionak*  coadyuven  a  su  difuxidn  moxtrando 
ui  comportamicnto  confer  me  a  los  mismos  como  medio  dc  xcnxibili/acidn  y  mejora 
del  prestigio  y  caltdad  de  xu  ofido. 

A  cste  rcspecto  lox  auditorcs  han  de  xcr  comcieaics.  dada  su  alu  expeciali/acidn 
a  un  campo  habitualmcntc  dexcooocido  pot  amptios  sect  ores  soculcs.  dc  la 
ebbgacido  que  moral mente  deben  axumir  rcspecto  a  advert ir  a  la  xocicdad  sobre  lox 
net jos  y  dependencias  que  la  informitica  puede  provocar  y  sobre  las  medidax  que 
deben  adoptarse  para  prexentrlos.  debtendo  servir  los  eddigos  deontoldgicos  dc 
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cjcinplo  y  caucc  idbnco  pan  transmitir.  al  resto  de  U  socicdad.  sus  singulars  y 
especificas  perccpciones.  inquietudes  y  auiolimiucioncs. 

Debc  tenerse  muy  presente  que  si  bien  los  sistemas  informlticos.  sometidos  a 
auditorial  son  un  mero  mstrumcrXo  al  scrvicso  de  la  politic*  cmpresanal.  cl  esludto  de 
su  cstructura.  y  aun  mis  cl  acccso  a  la  informaetdo  almaccnada  on  su  seno.  perns*  i 
lots  auditorev  obtencr  una  siskSo  y  conocimicnto  unto  de  la  situacidn  global  como  de 
dcterminadas  faccUs  dc  la  empresa  o  sus  emplcados.  en  cicrtos  casox  superior  a  las  de 
los  prop! os  auditados.  razdn  por  la  cual  cl  sometitniemo  dc  los  prime ros  a  unos,  a 
apanencia  inneccsanamenie  rigidon  y  dcullados  principios  dcontoldgico*  peoples  de 
su  oftcio.  results  de  obligada  instauracido  en  (as  or  de  los  segundos.  aun  cuando  esto» 
tlltimos  dcxconoecan  tan  siquiera  la  cxistcncia  de  los  enismos  y  sc  sorprctxlan  de 
detemunadas  act  nudes  de  Ion  auditorcs  acordes  coo  cllos. 

Los  eddigos  deontoldgKos  toman  asimismo.  de  las  normas  nutcnales.  Us  facetas 
reguladorcs  de  determination  comportamicntos  mtcrpersonalcs  como  salvaguardta  de 
dcrcchos  mdividualcs  y  colcctisos  susceptible*  dc  protcccidn  inuitucional.  sirvterdo 
dc  caucc  para  coartar.  cn  los  imbito*  profcsionales  conespondicmcs.  aquelln 
conductas  contrarias  a  lo  rcgulado  cn  sus  precept  os  medtante  U  imposietdn  de 
sanciones.  comcmpladas  dstas  desde  una  pcnpcctiva  discipltnana  nveramcr* 
professoral. 

Convtcnc  cn  todo  caso  matizar  cl  alcancc  cocrctuso  de  Us  normas  dcootoldgicas. 

Ya  sc  ha  indicado  antenormente  que  loda  persona  debe  cctlir  su  conducu  a  m 
proptas  normas  morales  intemas.  consusuncialcs  a  su  idcntidad.  y  accptar  U 
imposition  de  unas  normas  coactivas  extemas,  impocsUs  como  medio  dc  protecoto 
dc  U  socicdad  cn  la  que  sc  cncucntra  intcgrada 

Sin  embargo,  esus  dlumas  normas  no  pueden  regular,  con  toul  exhaustividad.  d 
compleyo  mundo  de  rclaciones  intcrpcrsonalcs  y  atin  men  os  profundisar  cn  aspects* 
puntualcs  que  sdlo  afcctan  a  un  rcducido  gnipo  dc  tndivtduos  o  actis  idadcs.  so  pena  de 
conslttuir  un  corpus  juridico  conformado  por  un  ntlmcro  tan  clevado  de  precept  os  que. 
por  su  gigantismo.  rcsultarfa  del  todo  pun  to  masumiblc  por  U  socicdad  y.  por  rode, 
iniltil  c  inaplicablc. 

Los  eddigos  dcontoldgicos.  por  cl  coninrio.  al  rcstringir  su  imbito  subjetivo  a 
determinadon  gnipos  dc  personas,  los  profcsionales  dc  Ircas  concretas,  y  acotar  w 
Imbito  ictnltico  a  sus  cspecfficos  cam  pox  de  actividad.  pcrmiten.  sin  causae  perjuiew 
nt  discnminacsdo  al  resto  de  integrates  de  la  comumdad.  csubleccr.  para  cl  ejcrcicw 
dc  dcterminadas  activtdade*.  unos  mintmos  cstindarcs  dc  comport armento  Cuco  y 
Idcnico  configuration*.  a  tenor  del  esudo  dc  U  cicocia.  dc  U  moral  colectiva  del 
grupo  al  que  van  darigido*. 
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Hay  qoc  tcncr  prcseruc  que.  medunte  el  cjercicio  profcsional.  sc  pone  de 
nxrfteuo  uru  de  Us  facetas  de  la  penorsalidad  que  mis  inode  cn  la  valoracidn  social 
<c  la  actisidjd  desamsIUda  por  las  personas  a  tras^s  de  la  reali/aodn  de  su  trahajo. 

Cieiumcr.ic  exisle  un  numeroso  conjunco  de  pccccptos  mcluidos  cn  normas 
■ttrulcs  provenienies  del  Do  echo  Constitutional.  Civil.  Laboral.  Mcrcantil.  etc., 
qx  rcgulan  una  gran  vahedad  de  acton  relacionados  con  la  actisidad  profcsional.  pero 
■fa  alU  de  die  bos  prcceptos.  y  como  fundamento  de  lot  misnvos.  debe  evistir  una 
*acnl  profesional-  que  sirva  de  gufa  para  deter  in  mar  cuindo  un  detenninado 
ceffifuetanuento  profcsional  e*  bueno  o  nvalo  (moralmente  ad  tumble  y  benefit' ioto  o 
■orafcncotc  inadmiuble  y  perjudicial). 

La  coerviNIxlad  de  lot  eddifot  dcontoidgicos  debe.  por  unto.  coniUtAinc  a  la 
■poiiodo  de  medidas  disciplinarian,  corrector  as  de  comportanucnlos  cootrarios  a  lo 
onpulado  cn  lot  mitmov  que  pongan  de  manificsto  el  recha/o,  por  el  colcctivo 
frofetiona)  cones  pood  »cntc.  de  aqucllas  conducUs  profcsionalcs  indignas. 

Fatal  medidas  suelen  rstar  constituidas  por  apcrcibinuentm.  rcprcnsiooes 
[(Micas  o  privadas  v.  en  kn  casot  tie  grave  o  reiterado  incumplimicnto.  cxclutionc* 
knporaics  o  defimtisas  del  infractor,  del  gnipo  profcsional  que  Us  ha  asumklo  como 

fRfUs 

Coo  esta  pcrspcctis a  sc  hace  prccito.  en  el  momento  actual,  ir  plantcando.  de 
bnu  c n’tic a.  la  ncccsidad  <le  sensibili/ar  a  lots  auditorrs  informfeicus.  integration  en 
■  lector  profcsional  dotado  de  una  cierta  autooomla  y  coo  unas  caractcristicas  muy 
yamcalarcs.  de  U  cooveniencia  de  rcflcxionar  sobre  la  dualidad  de  faccus 
■Kgradoras  de  su  comporunuento  profcsional  (comportanuento  Idcnico  cualificado  y 
eomporunuento  dtico)  a  fin  de  elimmar  el  error  tie  freer  que  su  actisidad  debe 
raiorusc  Onieamcntc  en  funcidn  de  unos  mfmmos  cstlndarcs  tbenicos  de  calidad  y 
fiahlidad  obsiando  los  condicionante*  rtcos  que.  en  case  de  conflicto  con 
eoedcxxunies  l<cnicos  o  de  cualquier  otra  Indole  Icicntificos.  ccondmicos. 
(naweionaies.  empresanalcs.  etc.),  sic  ben  set  constderados  como  prevalences. 

Antes  de  cot rar  cn  una  aproximacidn  de  los  diferentes  principios  dcontoidgicos 
<jx  normal  men  te  te  avocian  a  la  activnlad  de  los  auditor  es.  no  exti  de  mis  recalcar 
qx  to  tanto  en  cuanto  dston  no  cstCn  plenamente  asumados,  como  configuradores  dc 
li  dimension  <tka  de  su  profesidn.  verb  prefcnble  apelar  a  los  comporumienios 
aoralet  individualcs.  como  medio  de  ir  incidicndo  en  b  sedimentacidn  de 
coactpctooes  humanisticas  cn  el  entorno  profcsional  en  que  se  desenvuelsen.  a 
[mender  impooer  umlateralmente.  a  waves  de  agnspaciones.  socicdades  o  cotegios 
profesioeales.  dichos  principios. 
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7.2.  PRINCIPIOS  DEONTOLOGICOS  APLICABLES  A  LOS 
AUDITORES  INFORMATICOS 

Lo*  principios  dcontoldgicixs  aplicahlcs  a  los  auditorcs  dcbcn  necesanamtMt 
cstar  on  consonancia  con  I  os  del  rcsto  do  profcsionales  y  especialmentc  con  lot  dt 
aquelkw  cuya  aciividad  prcscntc  mayore*  concomitancias  con  la  do  la  auditors*  ruin 
por  la  cual.  on  equivalence  con  los  pnnciptos  dcontoldgicos  adoptados  poo  difcrrtta 
colcgio*  y  asociac tones  profcsionales  do  mtesiro  entonto  socio  cultural,  y  sin  irnawdt 
cxhaustividad.  so  puoden  indicar  conto  hiucos.  on  un  orden  mcramontc  alfabtocoj 
a  jo  no,  por  unto,  a  cualquior  pondcracibn  do  importancta.  los  tiguieMcs: 


7.2.1.  Principlo  de  beneficio  del  auditado 

F.I  auditor  deberi  vor  ednso  so  puodc  conscguir  la  miuma  oficacia  y  rentabOaM 
do  los  medkw  mformiticos  do  la  empresa  audilada.  ostando  oMigado  a  present 
rocomondacioncs  acorca  del  refor/amiento  dot  sistoma  >  cl  cstudio  do  las  soiucxw 
mis  iddneas  segun  los  probiemax  dctectados  on  cl  sistoma  inform  dtico  do  osta  illnaa 
siompro  y  cuando  las  solucioocs  que  so  adopten  no  stolen  la  Icy  ni  los  principal 
dtkos  dc  las  normas  dcontoldgica*. 

I  n  ningtin  caso  osli  jutiificado  que  rcalico  su  (raba/o  cl  prisma  del  prop*} 
he nolic  n>,  sino  que  por  cl  contrario  su  actividad  debe  ostar  cn  todo  momento  orienuii 
a  lograr  cl  miximo  pros  echo  dc  su  clicntc. 

Cualquicr  actilud  que  anteponga  intcrcscs  personates  del  auditor  a  los  dd 
auditado  deberi  considcrarso  corno  no  dtica.  ya  que  limitari  ncccsariamcnte  la  aptitud 
del  primero  para  prestar  at  segundo  toda  la  ayuda  que,  a  tenor  de  su  capacitaota, 
puede  y  debe  aponarte. 

Para  garanli/ar  tanto  el  beneficio  del  auditado  como  la  necosaria  mdepcndeocu 
del  auditor,  este  Oltimo  doberi  C'ilar  cstar  ligado  cn  cualquicr  forma,  a  intcrcscs  dt 
dotemunadas  marcas.  productos  o  cquipos  compatibles  con  los  de  su  cliente,  dcbierdo 
eludir  hacer  cotnparacioncs.  entre  cl  sistema  o  cquipox  del  auditado  con  los  de  ottos 
fabricantes.  cuando  las  mismas  sdlo  se  realicen  con  la  inicncibn  dc  influir  cn  las 
deeisiones  dc  su  cliente  y  provocar  un  cambio  hacia  csos  otros  sistema*  o  productos 
Non  por  intcrcscs  econbenicot  panicularc*  del  auditor  o  bicn  por  cl  mayor 
conocinucnto  que  tenga  dc  cllos  o  desec  tencr. 

La  adaptacibn  del  auditor  al  sistema  del  auditado  debe  implicar  una  eictu 
simbiosis  con  el  rmsmo.  a  fin  dc  adquirir  un  conocimicnio  por  me  non/ado  de  sm 
caracterfstic&s  mtrfaveca* 
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A  portir  de  U  adquitioAn  de  dicho  conocimicnio.  y  con  cl  grado  de 
independent  u  indicado  antcnormcntc.  cUa rt  cn  condmone*  dc  indicar.  ti  lo 
comtderatc  pcnincntc  cn  forma  globalirada  o  cn  forma  partkularaada.  Ia\  vcnujas  y 
dctvcniajat  quc  cl  tiucma  ofrecc  rrspccto  a  ocrot  tiucmas  o  marcat.  debiendo  obtcner 
dc  dkha  eooiparactbei  una  vene  de  conclutiooet  quc  pcrmitan  mcjorar  la  c alidad  y 
prruac  ioncs  del  tiucma  auditado. 

Umcamcnic  cn  lot  cast*  cn  quc  cl  auditor  dedujctc  la  impotibtlidad  dc  quc  cl 
uuema  pudiera  a.omodane  a  lat  etigcnciat  propiaa  de  tu  comctido  o  conuderatc 
cxccMvamcntc  oncrotot  lot  cambiot  a  introducir  para  otxcncr  una  tuftcicntc  fiabilidad 
a  corto  y  medio  pta/o.  due  podha  proponcr  un  cambio  cualitatitamcMc  ugntficativo 
de  dctcrminadot  ekmentos  o  del  propio  tiucma  inforavktico  global mente 
cotcmplado, 

Una  vet.  cttudiado  cl  tittema  informitico  a  auditar.  cl  auditor  debera  cuablcocr 
lot  rcquititot  mini  mot.  acomcjabk*  y  dpt  i  mot  para  tu  adccuactdn  a  la  final  idad  para 
la  quc  ha  tide  ditcAado.  determinando  cn  cada  cato  mi  adaptabiltdad.  fiabrlidad. 
Umitacionct.  potihlct  mejorat  y  cotlet  de  lat  mitmat.  con  objeto  dc  pretenur  al 
luditado  una  tcnc  dc  opoooet  dc  actuaodo  cn  funcidn  dc  dichot  parfmclrot  a  fin  dc 
<fx  due  pueda  vaktrar  las  relacionct  coue-cftcacia-calidad-adaptahilidad  dc  lat 
difcrcmct  opciooet.  facilitindole  un  abanico  dc  poubilidadcs  de  estabkeer  una 
pottkka  a  corto.  medio  y  largo  plain  acordc  con  tut  rccurtot  y  ncccsidades  rrakt 

U  auditor  tkberi  Idgkamcntc  ahuenerte  de  revomendar  actuacionct  inncccta- 
riameMc  oncrosat.  daAinas  o  quc  generen  nctgot  injuuificadot  pan  cl  auditado.  c 
iptalmentc  de  proponcr  moditVacionct  carcntcs  de  bate  cienrifica  contrattada. 
unafidcrMemcntc  peohadat.  o  dc  tmprctitibk  futuro. 

Una  dc  lat  cucUiooct  mat  controvcrtidas.  rrtpecto  dc  la  aplicacibn  dc  cue 
pnneipoo.  c»  la  rcfcrcnic  a  facihtar  cl  dcrecho  dc  lat  organization?*  auditadat  a  la  libre 
cfeccita  del  auditor,  lo  quc  implica  cl  deber  moral  dc  eviur  general  tkpcndcnciat  dc 
Im  primer ot  retpedo  de  lot  vegundot.  aunque  dicho  condicionantc  pcrjutliquc 
deteraunadat  expectant  at  economical  dc  cuot  tillimot 

Igualmcnic.  si  el  auditado  dccidicra  cncomcndar  poticriorct  auditorias  a  otrot 
pofetionalev  duot  debenan  podcr  lencr  acccto  a  lot  informet  de  lot  trabajot 
MBeneememe  rcali/adot  tobre  cl  uttema  del  auditado  ttempre  )  cuando  con  ello  no  tc 
vdacratcn  dcrcchot  de  tcrccrot  prtxcgidot  con  el  tecrcto  profeuonal  quc  cl  auditor 
debt  cn  todo  momento  guardar. 
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7.2.2.  Principio  de  calidad 

HI  auditor  dcberi  prewar  *u%  xerviciot  a  tenor  de  la*  potiNIxladct  de  la  oencuj  . 
medio*  a  *u  alcancc  con  abtoluu  libertad  rexpccio  a  la  utili/acidn  de  dkhm  mete  1 
y  en  una*  condicionex  tdemea*  adecuada*  para  el  iddneo  cumplimicnto  de  *u  labor. 

En  lo*  ca*o*  en  que  la  precanedad  de  medio*  pucwot  a  hi  dixpowcioo  m-fteo 
dificulten  tenamente  la  rcali/acidn  de  la  aodiloria.  deberi  nrgarxc  a  reali/arla  but 
que  «e  le  garanticc  un  mini  mo  de  condtcionet  Idcntca*  que  no  compromctan  la  cibdad 
de  mi*  servicio*  o  diciimenev 

C uando  durante  la  eyecucidn  de  la  auditoria.  cl  auditor  romideraxe  convcmene 
recabar  el  informe  de  otro*  tecnico*  mi*  cualificado*  *obre  aljvin  a*pecio  o  incited* 
que  tuperate  *u  capaciiacuWi  prodctiocul  pun  anali/arki  ci  iddncax  coodtoono, 
deberi  remitir  el  mi.uno  a  un  e*peciali*u  en  la  materia  o  re.abor  mi  dictamen  pin 
reforear  la  calidad  y  fiabdidad  global  de  la  auditoria 


7.2.3.  Principio  de  capacidad 

HI  auditor  debe  e*tar  plenamente  capacitado  para  la  reai/ac*6n  de  la  audited* 
encomendada.  mixime  temendo  en  cuenia  que.  en  la  mayoria  de  lot  catov  dada  m 
cxpcciali/acidn.  a  k»  auditado*  en  alguno*  ca*o*  le*  puede  *er  extremadamente  dificil 
venftcar  *u*  rccomcndacionc*  y  evaluar  correctamente  la  preciiido  de  la*  mi*ma*. 

Hay  que  lener  muy  pre*cntc  que  el  auditor,  al  igual  cue  otro*  dctcrmuiaioi 
ptofctionalct  imddicov  abogadov  cducadore*.  etc.),  puede  incidir  en  la  tom*  de 
decisione*  de  la  mayoria  de  mi*  clientc*  con  un  eievado  grade  dc  autonomla.  dada  It 
dificultad  praettea  de  lo*  mivroo*  dc  eontraUar  *u  capaodad  profafeaal  y  d 
de*equilibrio  de  conocimicnto*  idctuco*  exiwente*  entre  el  audeor  y  lo*  auditado* 

Debe.  par  unto,  ter  plenamente  comciente  del  alcancc  de  xu*  conocimicnto*  y  de 
*u  capacidad  y  aplitud  para  desarrollar  la  auditoria  e*  nando  que  una  sobrccxtimacita 
personal  pudicra  protocar  el  mcumplimiento  parcial  o  toul  d:  la  mixixia.  aun  en  lot 
casox  en  que  dictio  mcumplimiento  no  poeda  *er  detectado  for  la*  pertona*  que  le 
contraten  dada*  *us  carencu*  cogmtiva*  tdemea*  al  rcxpecto 

Conviene  indicar  que  en  lo*  ca*o*  de  producirte.  por  cl  contrario.  uni 
subolimactrin  de  mi  capacidad  prodcxional.  e*U  circurwancia  podria  afettir 
negativametue  en  la  confianu  del  auditado  tobre  el  KMiltado  final  de  la  audiloru. 
dejlndolc  una  inncccxana  impretioo  de  integundad  tobre  la*  popuesUt  o  deeixiemet 
a  adoptar. 


www.FreeLibros.me 

w»m _ CAHmO  T  OtONTOLOGtS  Dtl.  AUXTOH  IMOKMATICO  Y  ttXMOOS  fTtCOS  W 

A  elector  ile  garantirar.  cn  la  mcdtdj  dc  lo  pi>\ible.  U  pcrtincncta  de  su> 
aaoamicnlos.  cl  auditor  dchcri  pcocurar  que  dstos  cvolucionrn.  al  unitono  con  cl 
detarrcllo  dc  la*  tccnologfas  dc  la  inform*' ion.  cn  una  forma  dmimica.  cvilando  una 
pcmicima  rstaticidad  tdcnko-intelectual  que.  cn  cue  campo  dc  la  cicncia.  origina  una 
dristka  rcduccibn  de  las  ganntfus  dc  segundad  y  una  obioScicciKia  dc  nktodos  > 
ttaucas  que  pueden  inhabilitark  para  cl  cjerocio  dc  su  profesidti. 

Convienc  por  ultimo  llamar  la  alrncidn  sober  la  casufstica  dc  la  acreditacidn  dc  la 
capacitacito  dc  los  auditorcs  con  la  pregunu  clisica.  adaprada  a  lac  circunsiancia.*  dc 
cita  profesnJn.  dc  ^.qukn  audita  a  k»  auditorcs? 

Es  dcscabk  que  sc  foetalc/ca  la  ccrtificacidfl  profcuonal  dc  la  aputod  dc  I  os 
anli tores  para  rcali/ar  unos  trabajos  dc  Indole  tan  compkja. 

Eua  cenificacidfl  que  deberi  tener  un  pla/o  dc  validc/  acordc  coo  la  cvolucidn  dc 
In  Mesas  tccnologias  dc  la  infoemacido.  deberia  otar  avalada  >  garanti/ada  por  La 
■etodologia  cmplcada  para  acrcdilor  dicha  cspcciah/acidn.  la  indcpcndcncia  dc  las 
entidadcs  scrtilk  odoras.  y  la  solscncia  profcuonal.  objctivamcntc  comrastada.  dc  los 
frgano*.  ncccsanamcncc  colcgiados.  que  cn  las  mismas  sc  crccn  con  la  finalidad  de 
aprccur  la  formacibn  y  cualificactbn  profcsiotul  dc  los  solicitantcs  dc  la  misma 


72.4.  Principio  de  cautela 

El  auditor  debe  cn  todo  momento  scr  consckntc  dc  que  sus  rccomcndacioncs 
Men  cstar  bosadas  cn  la  cxpcnencia  contrastada  que  sc  k  supcinc  licnc  adquirida. 
cvxindo  que.  por  un  exccso  dc  vanidad.  cl  auditado  sc  embarque  cn  proycctos  dr 
funro  fundomentados  cn  simples  intuicioncs  sobre  la  posibk  cvo!uci6n  de  las  nuesas 
lecnologias  dc  la  informacidn. 

Si  bren  cs  cierto  que  cl  auditor  debe  cstar  al  corricnte  del  desarrollo  dc  dichas 
Irtaoiogiai  dc  la  informacidn  c  informar  al  auditado  dc  su  previsibk  evoluobn.  no  cs 
■men  ctcrto  que  debe  cviiar  la  tcntacidci  dc  crccr  que.  f racial  a  sus  conocinucnios. 
poede  ascnlurar.  con  un  cusi  absolute  grade  dc  ccrte/a.  los  futures  avanccs 
teraoWgicas  y  tnutsmitir.  como  medio  dc  demostrar  su  cualificada  cspcctali/acidn. 
dkhos  prcviiioncs  como  hcchos  incontestable*  incitando  al  auditado  a  iniciar  ilusoricn 
e  muficiriitcmentc  garantirodos  proycctos  dc  futuro. 

Debe.  por  tanlo.  cl  auditor  acluor  coo  un  cicrto  grade  dc  humildad.  csitando  dar  la 
iaprcubn  dc  cstar  al  corricnte  dc  una  informacidn  pnvilcgiada  sobre  cl  estado  real  dc 
Is  evolociim  dc  los  proycctos  sobre  nuevas  tccnologias  y  pondcrar  las  dudas  que  Ic 
■rjio  cn  cl  trarvse urso  dc  la  auditorfa  a  Tin  dc  poncr  dc  monificvto  las  diferentes 
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posiMes  lineas  ilc  actuacidn  en  funcirin  de  previsioncs  rcalc*  y  porccniajex  de  reqi 
caiculadot  de  las  rmsmav  dcbtdamenic  furxlamcntadas 


7.2.5.  Principio  de  comportamiento  profeslonal 

HI  auditor,  unto  cn  sib  relaciones  con  el  auditado  como  con  ten-eras  penom 
deberi.  en  todo  momenta.  actuar  am  forme  a  las  norma*,  impHcitas  o  expHaus.  k 
dignidad  de  la  profestdn  y  de  correct  i6n  en  el  into  personal 

Para  cllo  deberl  cuidar  la  moderacidn  en  la  exposition  de  sus  juictos  u  opimroa 
evitando  cacr  en  esagcraooocs  o  atemori/acione*  inneccvanas  procurando.  en  todo 
momento.  transmits  mu  imagen  de  precision  y  cxactitud  en  sus  comenttrio*  pt 
as  alen  vu  comportanuemo  profesiooal  e  mlundan  una  mayor  seguridad  y  confueni 
mb  clicntes. 

El  comportamicnto  profesiooal  cxige  del  auditor  una  tegurtdad  en  as 
cooocirmcntos  kemeo*  y  una  clan  perception  de  sus  carcncia*.  debtendo  clodir  la 
injercncia*  no  solicitadax  por  <1.  de  profctionale*  de  otras  ircas.  cn  temas  relacioruda 
o  que  puedan  incidtr  cn  el  rcsultado  de  la  audnorfa  y.  cuando  precisase  AS 
ascsoramiento  de  ocm  espertos.  acodir  a  cllo*.  dejando  en  dtcho  supueslo  consUa.il 
de  c*a  circunslancia  y  rtfleyando  cn  forma  difcrcnciada.  en  tin  in  formes  y  dicUmeaev 
las  opi mooes  y  conclussoocs  proptas  y  las  cmitidas  por  lot  tnismos 

El  auditor  slebc  asiraismo  guardar  un  cscnipukno  respeto  por  la  poliba 
empre canal  del  auditado.  aunque  t \U  difiera  ostcnublcmcnie  de  las  del  rctio  id 
sector  cn  las  que  detairolU  su  actividad.  eviur  cotnenlanos  extemporineos  sobre  b 
nusma  en  tamo  no  esiCn  rclactonadcn  o  afeclen  al  objeto  de  la  auilitoria  y  analuar 
pormcnonradamente  las  mnovac  tones  concretas  pue-stas  en  marcha  por  el  auditafe  i 
fin  de  determinar  sus  especffica*  venuyas  y  riesgo*.  eludtcndo  evaluarlas  untcamcrcei 
tenor  de  lot  euindarct  rnedios  del  resto  de  empresas  de  su  sector. 

Igualmentc  debe  csitar  rcalirar  ados  que  ximulcn  oplicac tones  de  tratanumia 
ficticios.  encubran  comportamtetKos  no  profestonaks  o  den  public tdad  a  metodoCopu 
proptas  o  ajetun  msulkientetnente  contrastadas  y  garano/adas. 


7.2.6.  Principio  de  concentracidn  en  el  trabajo 

En  su  Ifnca  de  actuacido.  el  auditor  deberi  evitar  que  un  exceso  de  trabayo  sopor 
sus  posbilidadcs  de  coAccntractdn  y  precision  en  cada  una  de  Us  t areas  a  d 
encomcndadas.  ya  que  la  tauiractdn  y  dispersidn  de  trabayo*  socle  a  menudo.  si  no  ad 
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dchilanicntc  control  ada.  pros  oc  or  la  cxxxlusidn  dc  los  tnitmos  sin  las  debtdas 
pnetiat  de  scguridad. 

A  cttc  efccto.  cl  auditor  dehera  sopesar  las  posible*  consccucncias  dc  una 
tcanelaodn  cxcesiva  dc  tratajos  a  tin  dc  no  asumir  aqucllot  quc  objetivamentc  no 
Ufa  (tempo  dc  rcalisar  con  las  debidat  garantfas  dc  c alidad,  dcbicndi  recha/ar  o 
posponrr  los  quc  cn  dicKas  circunsianciat  sc  lc  ofre/can 

Auimsmo  dchcra  eviur  la  dcsaconscjaMc  proctic  a  dc  ahorro  dc  csfocraos  basada 
a  U  reproduction  dc  panes  significant  at  dc  trahajos  o  conclusioocs  obtenidas  dc 
nbifos  prestos  cn  otras  postenoret  c  labor  ados  como  co*o!6n  dc  nuevas  auditorial. 

Per  d  contrano.  s i  cs  admisiMc  cl  quc.  una  vc *  anal i /ados  cn  profundidad  los 
aqxctos  a  tenet  cn  cucnu  y  obtenidas  las  correspond  icntcs  conclusioocs.  sc  contrast  cn 
hi  rai ureas  a  tenor  dc  la  cxpcnencia  adqutnda  )  rcllcjada  cn  aalcrtorcs  tnfomtes.  ya 
pc  cue  modo  dc  actuar  pcrmtlc  detcctar  postNes  onusioncs  cn  cl  cstudio.  complctar 
In  tnhajos  sobre  cl  objeto  dc  la  auditorla  incomplctamcntc  cjccuudo.  y  cubrir  las 
apresisioocs  dcicctadas  por  medio  dc  esu  cornpar  aetbn 

Erie  comportamtcnto  peotcsional  permit  irf  al  auditor  dcdicar  a  su  cltcntc  la 
■ayor  parte  dc  los  rccunos  posiblcs  obtemdos  dc  sus  conocinucntos  )  cxpcncncias 
prt'sas  con  una  completa  atenoda  durante  la  ejccucidn  dc  la  auditoria  un  injcrcncias 
odesatroc tones  onginadat  por  presucioncs  arenas  a  la  misma. 


72.7.  Principio  de  conflanza 

H  auditor  deberi  facilitar  c  tnerementar  la  confian/a  del  auditado  cn  hate  a  una 
KSiacidn  dc  Uanxpiarcncia  cn  su  actisidad  profcsiotul  sin  alardcs  ctctt  (ftco  iCctttcos 
pc.  por  tu  nvomprenudn.  puedan  resur  crcdibtlidad  a  los  resultados  obtemdos  y  a 
h»  directrices  acoosejadas  de  actuacidn. 

Eric  principio  requiem  asimismo.  por  pane  del  auditor,  el  mantcncruna  confian/a 
a  In  uubcacioocs  del  auditado  accptindolas  sin  resersas  como  siltda-.  a  no  ser  quc 
cbierse  dal  os  quc  las  contradigan  y  presia  confirmacidn  personal  dc  la  incqulvoca 
•cncidad  de  los  mismos. 

Pjt*  foruleccr  esa  conftaiua  mutua  sc  rcquicrc  por  am  has  panes  una  disposicidn 
de  driiogo  sin  ambigtlcdades  quc  permita  aclarar  las  dudas  quc.  a  o  largo  dc  la 
■dtcela.  pudieran  surgir  sobre  cualesquiera  aspect  os  quc  pod  cron  re  suitor 
coaflktivos.  todo  ello  con  la  garantia  del  vccrclo  profesional  quc  dehe  regie  cn  su 
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El  auditor  dcbcrl  en  consonancia  con  csu  forma  de  actual,  adccuar  *u  Icngutjt 
al  nivel  dc  comprcnudn  del  auditado.  dcwendicndo  y  dctallando  cuanto  haga  falu  a 
mi  cxplicacidn  debiendo  solicitar.  cuando  lo  conuderc  ncoesario,  la  prove oci*  it 
alguno  do  lo*  colabor  adore*  de  confianza  de  mi  clieme  que  pudiera  aprccur 
determmado*  aspccto*  Wcmcos  cuando  precive  infomurle  *obre  cucstionc*  dc  mi 
especial  complejidad  cicntffica. 


7.2.8.  Principio  de  criterio  propio 

El  auditor  durante  la  cyecucidn  de  h  auditoria  deheni  actuar  con  criterio  propio  j 
no  perrmtir  que  <*te  est*  vubordinado  al  de  otro*  profesionalex.  aun  dc  rcconocrie 
pre*tigM>.  que  no  coincidan  con  el  mismo 

En  Ion  cavo*  en  que  aprecie  divergence  de  enterio  con  dicho*  profcMooala 
vobre  avpecto*  puntuale*  de  *u  trahajo.  deheri  relVjar  dicha*  divcrgcncia*  dcjanls 
pler.amer.ie  de  mamfievlo  vu  propio  criterio  e  mdicando.  cuando  aqoCl  e*»<  uisicnuda 
cn  mctodologia*  o  exponential  quo  dificran  de  la*  comente*  profcuonala 
ma>  ontanamentc  avumida*.  dicha  circuastancia. 

I -a  defensa  a  ultranra  del  propio  criterio  no  c*  dbicc  para  r expel ar  lax  critical 
adxcrva*  de  tercero*.  aunque  el  auditor  debc  cvitar  que.  *i  una  vez  anali/ada*  continh 
discrepando  dc  la*  mitma*.  tuax  poedan  seguir  influvendo  en  mi  trahajo.  ya  que  U 
libertad  dc  enterio  imponc  al  auditor  la  obligacidn  ctica  de  actuar  en  todo  memento  a 
la  forma  que  <1  c  oroide  re  penonalmcntc  mi*  beneficiova  para  cl  auditado.  aun  cuandi 
tcrccras  persona*  le  incitcn  a  de*am>llar  linea*  diferente*  dc  aciuacidn. 

I-Ate  principio  exige  a*imi*mo  del  auditor  una  actitud  cuastbeligeranle  en  k» 
comm  en  que  lleguc  al  convcncunicnto  de  que  la  actividad  que  sc  le  solicit* 
prcMintamcntc  para  evaluar  y  mejorar  un  cinema  informitico.  none  otra  finalidai 
ajena  a  la  auditoria.  en  cuyo  caso  deberi  negarse  a  prcciar  mi  asiciencia  pomendo  de 
manifieMo  el  porqud  de  dicha  negaliva. 

De  igual  forma  cuando  el  auditor  observe  que.  de  forma  rcitcrada.  el  auditado  * 
mega,  sin  justificacidn  atguna.  a  adopcar  sut  propuesta*.  deheri  planteane  It 
continuidad  de  mis  sersxios  en  funcidn  de  las  ra/one*  y  causa*  que  considere  puedao 
juslifK'ar  dicho  proccder. 


7.2.9.  Principio  de  discrecion 

El  auditor  deheri  en  todo  momento  mantener  una  cierta  discrcckWi  en  b 
divulgation  de  dalo*.  apureniemente  inocuo*.  que  se  le  hayan  puesto  dc  mamfiesto 
durante  la  ejecucidn  de  L>  auditoria. 
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Eslc  cuidado  debcri  eurcmarsc  cuando  U  divulgacioa  dc  dichos  datos  pudtcra 
tfctUf  a  dercchos  relacionados  con  U  inlimsdad  o  proicsioajlidad  dc  Us  personas 
reeccrnxias  por  los  mismos  o  a  inteeeses  cmpecvanales.  y  mantenerse  unto  dux  ante  la 
rrali/acidn  dc  U  auditor!*  como  Iras  su  finali/acido. 


7.2.10.  Principio  de  economia 

H  auditor  dcticri  protegee,  en  la  mcdida  de  sms  conociiruemo-.  los  dercchos 
MMdatew  del  audiiado  csitando  fcocrat  gastm  inncccsanos  en  cl  tjetcicio  de  su 
actividad. 

to  cumplitnicnio  dc  es»e  pnncipso  deberi  procurar  e vital  dilactones  inncccsariat 
ta  la  rcaliraodo  dc  la  auditorfa  Ksu  ccooomU  de  tiempoa  pcrmiBri  al  auditado 
itdacir  los  p!a/os  de  actuactOo  lendentct  a  solvenlar  los  problcmat  dstevtados  o  a  la 
adrcuacidn  a  lois  nuevos  metodin  propuestos  aponando  un  detemunada  valor  aAadido 
il  trabajo  del  auditor. 

De  igual  forma,  cl  auditor  debcri  tenet  en  coenta  la  econonia  de  mcdios 
■ute rules  o  humanos.  cludicodo  utilizar  aqucllos  que  no  sc  premsen.  lo  que  redundari 
ea  reduce  tones  de  gastos  no  justificados. 

Conviene.  en  vinud  de  esie  pnncipso.  delinuur  en  U  forma  mis  concrcta  posiMe 
ab  uutto  el  akance  y  llmites  de  la  auditor*  a  efectos  de  evitar  letter  que  reali/ar 
cstudios  sobre  aspectos  colaterales  no  significalivos.  que  detraen  iicmpo  y  mcdios  para 
h  anilisis.  y  emitir  mformes  sobre  temat  cucsmstanciales  o  ajenot  a  la  finalidad 
pcneguida 

EJ  auditor  deberi  revha/ar  las  ampliactoocs  del  trabajo  en  march*  aun  a  petition 
del  auditado.  sobre  asuntos  no  directamentc  rclacionados  con  U  auditorfa.  dejando  que 
de  el  los  se  encarguen  Ion  profcuonalcs  tad  hoc.  y  cvtiari  entrar  :n  discusioncs, 
comentanos.  visitas  de  cortcs (*s.  etc.  que  no  estdn  justificadas  con  Uejccucidn  de  U 


En  las  rccomcndacioncs  y 
aunasmo  eludir.  incitar  o  propoocr 
antcesanos  o  desproporcionados. 


realizadas  en  base  a  su  trabajo  deberi 
actuaciones  que  puedan  gcncrar  gasion 


7.2.11.  Principio  de  formacidn  continuada 

F.ste  principio.  Intimamcnte  ligado  al  principio  de  capacidad  y  vinculado  a  la 
ccatinuu  cvolucidn  de  las  tecnologfas  de  la  informacidn  y  las  mctodologfas 
irianonadas  con  las  mismas.  impone  a  los  auditorcs  el  deher  y  la  rrsponsabslidad  de 
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mamener  una  pcrmancnte  actualizacidn  de  *uv  coooeimtenlx*  y  metodos  a  fia  de 
adccuarios  a  las  ncccvidadc*  dc  la  demanda  >  a  La*  exigenciax  de  la  competency  de  a 
oferla 


l-a  progreviva  cvpccialiracidn  dc  *u*  cliciuev  exige  asimismo  dc  kw  audrtcto^ 
para  podcr  maeiicncr  cl  grade  dc  confian/a  que  .%e  ptctiu  pact  dejar  cn  vus  raanead 
anilisi*  dc  lav  prrvtaooocv  dc  los  *i*ecma*  informiucov.  un  continue  plar  dr 
formaetdn  personal  que  impliquc  un  scguimicnto  del  dcvarrollo  y  oportunidadc*  de  hr 
nuevav  trcnolngia*  dc  la  mformacidn  para  podcr  ineorponr  (ictus  innosaciooev.  un 
ve/  consoluJadas,  a  los  sistemav  dc  *u*  clicnics  cviiacdo  dc  evu  forma  m 
ob*ole*cencu. 


7.2.12.  Principio  de  fortalecimiento  y  respetode  la  profesido 

l-a  defenva  dc  kxv  audnadov  pava  por  cl  fortalccimicnto  dc  la  profeudo  de  lot 
auditores  informiucov.  lo  que  exige  un  respeto  por  cl  cjcrcicio.  globilmet* 
convidcrado.  dc  la  actisidad  dcvarrollada  por  lo*  mivmov  y  un  com  port  arrueruo  accede 
con  lo*  requiutov  exigible*  para  cl  iddneo  cumplimicnio  dc  la  finalidad  de  la 
auditoriav 

En  comonancia  con  cl  principio  dc  defenva  dc  la  profcsidi  dc  lo*  audilom.  t* im 
deberan  cuidar  del  reconocimicnto  del  valor  dc  su  trahajo  y  de  la  corrccta  valoracita 
dc  la  imporuncia  dc  lo*  revuhadov  obtemdo*  con  el  mivmo. 

En  cuanto  a  la  rcmuncracidn  por  *u  actividad  profesiorul  Csta  deberia  evar 
acordc  con  la  preparaodn  del  auditor  y  con  cl  valor  aAadido  que  a  porta  al  auditado  cm 
*u  trabajo.  %icndo  recha/ablc  cl  cvuMccimiento  dc  acacrdo*  que  impliqwa 
rrmuncracioncs  al  auditor  maniftcvtaincnie  dcvpruporcionadas  tanto  por  insufictetta 
como  par  abuvivav.  ya  que  a  largo  pla/o.  tanto  la*  una*  como  lav  otra*  rcdundui  ca  us 
dcbilitamicMo  del  rcconocimiento  y  aprccio  dc  la  profesidn. 

El  auditor  deberi.  por  tamo,  en  prevtigio  dc  *u  proirvidn.  evitar  compeer 
dcvlcalmcntc  con  mi*  compaAcrov  rebajando  tea  prccio*  a  Unites  impropiov  del 
erabajo  a  rcali/ar  con  la  finalidad  dc  climinar  compctidorcv  y  redueir  la  competencu 
profcuonal.  c  igualmentc  evitax  abusar  dc  *u  especial i/acdn  para  importer  ina 
rcmuncracido  como  contrapartida  a  *u  actividad  profcviorud  que  mani!ic*lamcuc 
cxccda  del  valor  objetivo  dc  su  (rahajo. 

Como  mtegrante  dc  un  gnipo  profcvional.  deberi  promoter  cl  respeto  inutuo  >  U 
no  confrontacidn  entre  compaAcrov  Evte  respeto  no  c*ti  reAido.  *in  embargo,  coo  b 
dcnuncia  dc  comportamicntov  indebido*.  parauunos  o  dolovn  cn  k>*  ca*os  en  qat 
dsios  le  hay  an  quedado  patentee  ya  que  evtav  dcnuncia*  dehen  contcmplarve  eo  el 
marco  de  la  defcn*a  dc  la  propia  profevido  como  forma  de  elevar  *u  rcconocimiento 
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En  sus  relacioocs  profesionalct  dcbcri  cxigir  aximismo  uiu  rcciprocidad  en  cl 
MoipoeUmicnio  <tico  de  sux  telegas  y  faciliUr  las  rclacioncs  dc  confratcmidad  y 
■«»>  apoyo  cuando  asi  sc  lo  solicited  Eae  memo  apoyo  no  dcbe  entcndcrsc  en 
tufiin  caso  como  conuaprestacidn  gratuita  dc  uctonunKMo,  sino  como  caucc  dc 
coJaboraeidn  cn  tcmas  puntualcs  que  prectscn  dc  una  ctcrla  cspcoaluacidn  o 
ccrttxua,  nm  dc  opinvooev. 


7.2.13.  Principio  de  independencia 

Esie  pnncipto.  muy  relacionado  con  el  principio  dc  criicrio  propio.  obliga  al 
mAttx.  Unto  si  act  da  como  prolcuonal  cxtcrno  o  con  dependence  latxinl  revpecto  a 
li  cmptcvi  en  la  que  deK«  rcali/ar  la  auditoria  informitica.  a  cxigir  una  total 
■acnotnia  c  independencia  en  mi  (rahajo.  condition  **ta  imprcscindiMc  para 
pentutule  acluar  librcmcntc  segiin  mi  leal  saber  >  cMcndcr. 

La  independencia  del  auditor  conMHuye.  en  su  esencia.  la  garantu  dc  que  los 
■toeses  del  auditado  serin  asumidos  con  objetividad:  cn  contecucncia  cl  correcto 
qercicio  profesional  dc  los  audilorcs  c»  antagdnico  con  la  realization  dc  *u  aetivxJad 
Vjo  cualrsquicra  condiciones  que  no  permitan  garanti/arla. 

Esu  independencia  implica  asimismo  el  rechaw  dc  crilertos  con  Ion  que  no  cut 
pmamrntc  dc  acuerdo.  dctxcndo  redejar  en  mi  informc  final  tan  sdlo  aqoellos  que 
ooMidcrc  pertinences.  evitando  incluir  cn  cl  mismo  aqurlkn  otras  coo  lot  que  disienta 
■■que  tea  impclido  a  ello. 

El  auditor  igualmcnte  dcbcri  preservar  mi  dcrccho  y  obligacida  de  decir  y  poncr 
de  nunificMo  todo  aqucllo  que  segiin  su  ckncia  y  conciencia  concidcrc  ncccsano.  y 
•boetenc  dc  adopur  mdtodos  o  rccomcndar  llneas  de  aciuactdn  que.  segiin  su 
asender.  pudieran  producir  perjuickx  al  auditado.  aunque  dste  asi  se  lo  solicitc 

A  efectos  de  ulsaguard.tr  su  independencia  tunc  tonal.  dcbcri  cludir  esiablcccr 
dtpendcncus  con  firmas  que  la  limiten  a  fin  de  cvilar  que.  aun  subjet  i  same  rttc.  pueda 
pvihKirsc  una  reduccion  dc  su  libcnad  dc  actuacidn  profesional. 

Coosiene.  sin  embargo,  difercnciar  csta  independencia  en  su  trabajo  dc  la 
ngenoa  de  utili/ar  el  resuhado  del  mismo.  lo  que  ohviameme  entra  en  cl  campo 
conpetcocial  dc  la  poecsiad  dc  actuacido  del  auditado.  el  cual  puede  veguir  o  ignorar. 
few  las  ra/ooes  que  estime  cons-cnicntes.  sus  mfonnes.  rccomendaciones. 
ariettanoncs  o  cooscjos  sin  que  elk)  suponga  rnerma  alguna  cn  la  independencia  del 
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7.2.14.  PrincipJo  de  informacidn  suficiente 

Erie  principio  dc  primordial  intcnS  para  el  audilado.  obtiga  al  auditor  a  ter 
plcrumcntr  contciente  de  mi  obligacidn  dc  aportar.  cn  forma  pormraon/adameaic 
clara.  precisa  e  intcligiblc  para  el  audilado.  informacidn  lanto  tobre  todot  y  cada  uno 
dc  lot  puntot  relacionadot  con  la  auditoria  que  pucdan  tenor  algiin  inters*  para  & 
Como  tobre  las  conclusionc*  a  lat  que  ha  llegado.  c  igualmcnte  informarle  vobre  la 
aclividad  dcvarrollada  durante  la  micina  que  ha  tervido  dc  bate  para  llcgxr  a  dkhu 
conclusionc  x. 

Dicha  informacidn  deberi  etiar  contliluida  por  aquella  qoe  el  auditor  consider! 
concentrate  o  bencliciota  para  lot  interetet  o  teguridad  de  mi  clirale  y  etiar  ca 
coiuonancia  coo  la  utilidad  que  pueda  tenor,  en  el  pretente  o  en  el  futuro.  para  d 
mi  uno.  Junto  a  dtcha  infonnaciOn  deberi  atimitmo  facilitar  cualquier  otra  que  le  tea 
rcquotida  por  el  audilado.  aunque  la  contnlerr  intrantccndraic  o  poco  significant* 
tiempre  y  cuando  d«a  tonga  una  relacidn  dir  ecu  y  no  meramente  ctrcunttancial  coo  d 
objeto  de  la  auditoria  y  no  afecte  a  datot  nominatives  cuyo  deber  dc  tccrclo  le  to 
exigible. 

En  dichat  informacionct  deberi  cvitar  aportar  dal  os  iMrasccndratet  para  >a 
cliente  (datot  que  vdlo  afecien  a  tu  propia  imagen  conacrcial  o  profesional  del  auditcr 
-autopropaganda-.  datot  comercialc*  no  pertinentes.  etc.),  que  sdlo  pertigia 
incTcmeMar  cl  tolumen  del  informc  o  juttiftcar  la  autcncia  de  determinate 
precitioncs  de  tingular  important ia  mcdiante  la  aporsaetdn  de  otrat  dc  mono*  intcres  j 
dc  mit  ficil  elaboration  para  el  auditor. 

El  auditor  deberi  atumtmo  comprometerte  con  mis  concluuonet.  debieada 
indicar  en  el  lat  Ion  dcfecto*  obtervadot  en  el  sitiema  informidco.  las  If  neat  dr 
actuation  que  rccomienda  y  lat  dudat  que  respeeto  a  lat  mitnvat  sc  le  planter* 
indtcando  en  etie  ultimo  cato  si  la  causa  exceptional  que  lat  produce  tc  denva  de  um 
intuficieiscia  de  datot  tobre  el  propio  sitiema.  de  una  falta  de  conocimiratos  tdcrucci 
del  propio  auditor  que  le  impidc  decidirxe.  con  una  minima  garantfa  de  fiabilidad. 
tobre  la  conveniencia  de  inclinartc  prefereniemente  por  alguna  dc  cllat.  o  de  uu 
inceriidumbrc  tobre  potiblet  evolucionet  a  medio  o  largo  plazo  de  lot  avancct 
lecnoldgicat. 

Cieitamrate  cl  auditor  debe  ter  contciente  dc  que  la  cxplicilacidn  de  tut  dote 
afcctari  a  la  confian/a  del  audilado.  pero  en  cualquier  cato  ct  prefcnble  Irantnutir  cat 
informacidn  war.  entendida  dtta  coino  la  que  ct  exigible  a  todo  huen  profetioaal  a 
el  ejercKio  de  mi  actividad  a  tenor  dc  tut  cooocimicn'.os.  que  trasmitir.  corn©  optnrfi 
experta.  una  informacidn  de  la  que  no  pueda  garanti/ar  personal  me  rue  tu  exaetitud. 
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tv  imponantc  atimismo  quc  la  informaci6n  trasmitida  al  audiudo  ponga  dc 
•umficsio  una  prudcncia  y  scntido  dc  la  rcsponutMlidad.  caracicristicas  cuav  quc 
■oKi  debcn  cvtar  rcAidav  con  los  pnncipios  dc  suficicncia  informal! va  y  dc  verac  triad, 
nuarxlo  rccrear  I  os  aspcctos  negatives*  o  los  c  notes  hu  manor  dcteclaco*  quc  dcbcn 
flxda i  rcOcjados  con  un  cicrto  UKto  profesional 

H  auditor  dcbc  cvitar  haccr  rccacr  la  loulidad  dc  inadaptaciorxs  del  sistema 
•otre  alguno*  ckmento*  singutare*  (personate*  o  matcnalev).  ignorandoaquello*  otros 
quc  pudicran  lener  mcidcocia  cn  los  fallov  o  anomalfa*  dctcctadas.  por  simple 
ccewdxlad  cn  la  elaboration  dc  sus  informe*.  y  hutr  del  tccrctisino  <n  cuanio  a  la 
cxpbcrtacidn  dc  los  mCtoclos  utili/ados  sicndo  inadnusiblc  quc  sc  aprosechc  para  elk) 
de  la  buena  fe  del  auditado. 

la  labor  informativa  del  auditor  dcbcrl  por  unto,  esur  basada  cn  la  sufic  icntia. 
macoomia  >  miximo  aprovcchamicnto  dc  la  misnu  por  pane  dc  w  tlicntc.  dcbicndo 
iabcar  junto  a  tus  juKtos  dc  valor,  la  mctodologia  quc  Ic  ha  lies  ado  a  cxublccerlos 
para,  dc  esu  forma,  facilitar  cl  quc.  cn  futuras  auditorial.  puedan  ap  ovccharsc  los 
cooocimacntos  cxtrafdo*  dc  la  as!  rculi/ada.  cludicndo  monopolsn  lactic  os  y 
dependrncias  gcocrada*  por  oscurantismo  cn  la  trasmisidn  dc  la  mfoemacidn 

7.2.15.  Principio  de  integridad  moral 

Ette  principio.  mhcrcntcmcntc  ligado  a  la  dignidad  dc  persona,  obi  ga  al  auditor  a 
ta  hoocsto.  leal  y  diligence  cn  cl  desempefto  dc  su  misidn.  a  ajuuarse  a  las  normas 
morales,  de  justkia  y  probidad.  y  a  es  iur  paiticipar.  soluntana  o  inconscicntcmcnic. 
«  cualesquicra  actos  dc  comipcidn  personal  o  dc  tcrccras  personas. 

El  auditor  no  deberi.  bajo  mnguna  circunsiancia.  oproscchar  los  conoomicnlos 
adqutndos  durante  la  auditoria  para  utili/arlos  cn  contra  del  auditado  o  dc  tcrccras 
personal  rtlacionadas  con  cl  mismo. 

IXirantc  la  realiaactdn  dc  la  auditoria.  cl  auditor  deberii  cmplrar  la  mUxima 
dUigencia.  dcdicacidn  y  precision,  utilizando  para  cllo  todo  su  saber  y  extender. 

7.2.16.  Principio  do  legalidad 

Eo  todo  momento  cl  auditor  dcbcrl  csitar  utili/ar  sus  cono.imicntos  para 
bolitar.  a  los  auditados  o  a  tcrccras  personas,  la  contra*  cncidn  dc  la  legalidad  vigcntc. 

Ea  mngiin  caso  conscnliri  ni  colahorari  en  la  desactivacidn  o  elimination  dc 
Aspoutiso*  dc  segundad  ni  mtentara  obtener  los  eddigos  o  claves  dc  acccso  a  sect  ores 
iwthngklos  de  informaesdn  gcncrados  para  proteger  los  dcrechos,  obligac tones  o 
mietescs  de  tcrccros  (dcrccho  a  la  intimidad.  sccreto  profesional.  propiedad 
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De  igual  forma  los  auditores  debcrin  abstcncrsc  de  intersenir  lineas  dt 
comunkactdo  o  controlar  actividade*  quo  pucdan  general  sulncracidn  do  dcrecln 
pcrsonalcs  o  cmpresanalcs  dignos  de  protcocidn. 

La  primacia  dc  oua  obligacidn  c*ige  del  auditor  un  comportamicnto  active  dt 
opotKidn  a  todo  mtemo.  por  parte  del  audiiado  o  dc  icrceeas  personas.  leodceu  i 
infringir  cualquier  prccepto  imegrado  cn  cl  dcrccho  positive. 


7.2.17.  Principio  de  libre  competencia 

La  actual  cconomia  de  mcrcado  ctigc  quo  cl  cyercicio  dr  la  profcsibn  se  reaJec 
en  el  marco  de  la  libre  competencia.  uendo  recha/aMcs.  xir  Unto,  lac  pcfctka 
colusonas  lendemex  a  impedir  o  limitar  la  legflima  competencia  de  otros  profcsioiuici 
y  lac  pnkticas  abutiv as  constttenlcs  en  el  aprovcchamicnto  cb  beneficio  propto.  y  ct 
contra  de  Ion  inlcrescs  dc  los  auditados.  dc  posiciones  predomhantes 

I  n  la  comercialiracidn  dc  los  tervicios  de  aodiioria  informinca  deben  eviunt 
unto  los  comportamientos  parasitanos  como  Ion  meramenle  desleales.  rntcndidoi  lot 
prirnerm  como  aproveebamrentos  indebidot  del  trabajo  y  vputacidn  de  otrot  a 
beneficto  propio.  y  Ion  segundos  como  intentCH  de  confundir  a  Ion  derrundantet  dr 
did**  scrvkio*  mediante  ambigUcdadcs.  insinuaciones  o  puttuali/acione*  quo  idb 
tengan  por  objetivo  enmavearar  la  caiidad  y  liabilidad  de  la  oferta. 


7.2.18.  Principio  de  no  discrlminacidn 

El  auditor  cn  nu  actuation  previa,  durante  y  posterior  a  la  auditoria.  debera  eviOf 
inducir.  panicipar  o  aceptar  situacionca  discriminator)**  de  ningiln  tipo.  dcbxodo 
cjercer  su  actividad  profesional  sin  prejuioos  de  ninguna  clase  y  con  mdependencia  de 
las  caractcrfsticaN  pcrsonales.  soc talcs  o  econdmicas  de  sits  diene*. 

IX-bcra  evitar  cualquier  tipo  de  condtcionantcs  personal uados  y  actuar  en  loda 
los  casos  con  similar  diligcncia  con  mdependencia  dc  lus  brneficios  obtenidm  dd 
audiiado.  de  las  limparias  pcrsonales  que  lenga  hacia  cstr  o  de  cualquier  on 
circunsuncia. 

Su  actuacidn  deberi  asimismo  mantencr  una  iguaidad  de  rato  profesional  coo  b 
toulidad  de  personas  con  Us  que  en  virtud  de  su  trabayo  tenga  que  relacionarse  cob 
independence  de  categorla,  estates  emprcsanal  o  profesional,  etc. 
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7.2.19.  Principio  de  no  injerencia 

El  auditor.  duda  la  incidcncia  quo  pocdc  dcnv-arxc  dc  mi  (area,  debera  eviur 
uqertociax  cn  los  trahajos  dc  otro*  profexionalcs,  revpetar  su  labor  y  cludir  haccr 
comtnursos  que  pudicran  interpretarse  como  despreciatisos  de  la  mivna  o  provocar 
■  cieno  desprextigio  de  vu  cualificacidn  profcxional.  a  no  scr  quo.  por  ncccsidadcx  dc 
U  auditoria.  tuviera  que  explicitar  determinadas  inidoncidadcs  que  puueran  afectar  a 
ksaxtchiMones  o  cl  rcuiUado  de  mi  dictamen. 

IXrbcra  igualmentc  evitar  aprovcchar  Iw  dalox  obtenido*  dc  la  auditoria  para 
tntrar  cn  compctcncia  dcslcal  con  profeuonaiet  relaciooados  con  clla  dc  otras  tireas 
del  ccrsocimienio.  Hu  injcrcncia  ex  nuyormente  rcprohaNe  cn  los  caw*  cn  lot  que  sc 
ifKida  cn  aqucllos  campos  dc  actividad  para  I  os  que  cl  auditor  no  sc  cncucntrc 
pkiunente  capacitado 


7.2.20.  Principio  de  precisidn 

Este  principio  cstrcchamcnlc  rclacionado  con  cl  principio  dc  caldad  cxigc  del 
auditor  la  no  conclundn  dc  su  trabajo  haxta  c»tar  convcncido.  cn  la  medida  de  lo 
posiMe.  dc  la  viabilidad  de  mix  propucstas.  debiendo  ampliar  cl  eMudio  del  sistema 
irformltico  cuanto  considers  ncccxario.  sin  agobiox  dc  pla/os  (coo  la  exccpcidn  dc  lo 
y*  indicado  antcriormcntc  rcspecto  al  principio  de  cconomla)  siempre  que  sc  cucntc 
coo  la  aquiescencia  del  auditado.  hasta  obtener  dicho  cons  cncimicnto. 

En  la  cxpoticidn  dc  sus  concluttoocx  deberi  scr  suficienlcmcntc  critico.  no 
ctadicodo  pener  dc  manificsto  aqucllos  aspectos  concrctos  que  conudcic  puedan  terser 
mu  cierta  incidcncia  cn  la  calidad  y  fiabilidad  dc  la  auditoria.  ni  quedindose  cn 
jcoeralidadex  o  indcfinictoncx  que  por  su  amplitud  o  ambigbcdad  sdlo  pretendan 
cahrir  al  auditor  dc  los  riesgos  dcrisados  dc  toda  concrccidn  cn  detrimento  dc  los 
derechos  c  intcreses  del  auditado. 

Es  exigible  asimismo  del  auditor  que  indique  conso  evaluado  unicamcntc  aqucllo 
qae  dirccumente.  o  por  rnedio  de  sus  colaboradorex.  haya  comprobado  j  observado  de 
fcrmi  exhaustive.  eludiendo  irtdicar  como  propias  y  contra  si  adas  las  ohscrvacionc* 
prciales  o  incompletas  o  las  rccabodax  dc  tcrccras  personas. 


7.2.21.  Principio  de  publicidad  adecuada 

La  ofena  y  promocidn  de  los  scrviciox  dc  auditoria  deberin  cn  todo  mornento 
qotarsc  a  las  caractcristicas.  condicioncs  )  finalidad  perseguidas.  sicado  conlraria  a 
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b  cl ic 4  profcMocul  U  JiIuvhVi  dc  public  idad  falsa  o  engaftovi  quc  tcnga  como  objcWO 
confundir  a  los  potentiates  usuanos  dc  dichars  «mcii» 

l-a  dcfcnsa  del  prcstigio  dc  b  profeudn  obliga  asimiMtso  a  kn  audeora 
informilicos  a  cvitar  be  campoftas  public  lianas  quc.  por  mi  contcnido.  pueda 
desvirtuar  b  rcalidad  dc  sue  servicun.  enmavearen  las  timilc*  dc  los  imvnca, 
oseurc/can  cue  objetivos  o  prometan  rcsultados  dc  impres  lublc.  cuando  no  itnpoublc, 
coasecucifo. 


7.2.22.  Princlplo  de  responsabilidad 

1:1  auditor  deberi.  como  elemento  intrinscco  dc  todo  comportamiento  profesiouL 
responsabilizarsc  de  U>  quc  hag  a.  diga  o  acontcjc.  Mrs  icndo  eOa  forma  dc  actual  ccoo 
con  a  pica  dc  injcrencias  cxtraprofcuooaks 


Si  bicn  csic  pnncipio  aparcMcmcntc  puede  rrsuUar  cspccialmcntc  pntw  a 
audiioriac  dc  gran  compkjidad.  que  por  otra  parte  son  bs  habtiualacok 
entomendadas  a  lo»  audnotes  informal icoc.  cc  prccico  tenerlo  presente  a  fin  de  pofa 
garantirar  su  responsabilidad  cn  los  casos  cn  quc.  debido  a  err  ores  humanos  durante  k 
cjecucion  dc  la  audituria,  sc  produrcan  daftos  a  mi  clicnic  quc  le  pudmao  n 
impvtados. 

Poe  dk>  cs  con  seme  ole  impulsar  b  formal  i/acidn  y  susenpetdn  dc  segana. 
adaptadns  a  las  peculiarcs  caractcristicas  dc  su  actividad.  quc  cubraa  h 
responsabilidad  civil  de  los  auditorcs  con  una  suficientc  cobntura  a  fin  dc  xrccmCa 
b  confun/a  >  solvcncia  dc  su  actuacifa  profcMonal. 

Obviamcntc  bs  compaftbs  aseguradoras  podrln  introdueir  deternunados  raWub 
corrcctores  del  code  de  su  sc  ripe  ion  dc  las  coocspondicntcs  pcMi/as  a  tenor  de  la 
garantlas  quc  los  auditorcs  pucsbn  a  portal  (ccitiftcacioncs  pcofcsionakv  aftos  4 
exponent  ia.  etc  ),  lo  quc  avalarb  una  mi*  racional  cstructuracism  de  b  ofcrta 

La  responsabilidad  del  auditor  conllcva  U  obligation  dc  rcsarcirmcMo  de  In 
daftos  o  pctjuKKss  quc  pudicran  Jens  arse  dc  una  actuacido  neglige  me  o  culposa,  i 
bicn  debena  probarse  la  coocxiOn  causa-cfccto  oeiginana  del  dafto.  siendo  acomcjM 
cMipolar  <i  priori  un  tope  mixtmo  de  responsabilidad  »obrc  kss  posiblcs  daftos  acer* 
con  la  remuneration  acordada  como  contra prestaciOn  por  b  realicaciOn  dc  b  auduortt 


7.2.23.  Princlpio  de  secreto  profesional 

La  confide tsc la  y  la  confian/a  son  caractcristicas  esenc sales  dc  las  rcbciones  cent 
cl  auditor  y  el  auditado  c  imponen  al  primero  b  obligation  dc  guardar  cn  ictnto  b 
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bccKis  c  in  format' tones  que  cono/ca  cn  cl  ejercicio  de  su  aclividad  profcsional 
Sciimcnie  por  impcraiivo  legal  podri  dccacr  cu  obligation 

Ewe  pnrtcipxo.  inherente  al  ejercicio  dc  la  profcsiOn  del  auditor,  cstipulado  cn 
bcaefKio  de  la  seguridad  del  audilado.  obtiga  al  pnmero  a  no  dilundir  a  lerccias 
personas  mngdn  ditto  que  haya  vistos  ofdo.  o  dcdixido  durante  cl  dcxanollo  de  mi 
tnbajo  que  pudiera  pcrjudicar  a  xu  clienlc.  xiendo  nulox  cualesquicra  patios 
cocibk lodes  que  pretend icr an  exduir  dicha  obligation 

El  mamenmuento  del  secreto  profcsional  sobcc  la  informactdn  obtenida  durante 
h  audnoria  ve  extiende  a  aquclUs  personas  que.  hajo  la  potextad  organuadora  del 
■drier.  colaKvren  con  <1  en  cualesquicra  de  lax  act  it  idadrs  rclacionadas  ton  la  mitma 

St  >e  produjete  una  dcgKiOn,  por  pane  de  las  personas  que  dependen  del  auditor, 
del*  obligation  de  mantener  secreto  sobre  los  daios  obtenidox  de  la  auditona.  rccacrd 
Bin  ellos  la  correspond  tenie  obligation  de  resartinuentu  por  los  daAos  inutcrulcs  o 
■crates  causadox  como  conxecuencia  de  la  mixma.  obligation  que  conqxinirin 
•Mtnamenic  ton  cl  auditor  en  vinud  de  la  rcsponxabtlitlad  in  elinendtt  o  in  vifiLmdo 
pc  tut  asumc  por  k>s  acton  de  sus  colaboodorc*. 

Este  deber  dc  secreto  itnpone  asimismo  al  auditor  el  cxtablecimicnto  de  las 
■edrtu  y  met  am  situ  is  de  xegundad  pemnentes  para  garanti/ar  al  auditado  que  la 
■fcnnacifa  document  ada.  obtenida  a  to  largo  dc  la  aodiloria.  sa  a  quedar  almacenada 

■  cMoroos  o  sopones  que  tmptdan  la  accesibtlidad  a  la  nuxma  por  ter  cents  personas 
ID  autonradas  El  auditor  tan  xdlo  deberi  pcrmitir  cl  acceso  y  conocinuento  dc  la 
anma  a  los  profesionales  que.  bajo  su  dependent ia  organiuuxa.  estin  igualmenic 
■jetos  a)  deber  dc  tnantener  el  secreto  profcsiotul  y  en  la  medida  en  que.  por  las 
aecesaixlcs  de  informacidn  dc  k*  mismos.  sea  prcciso. 

No  debc  considcrarsc.  por  el  contrano.  como  xulneractdn  del  secreto  profevional. 
k  neuniuOo  de  datos  confidencules  del  auditado  a  oirox  profcsiooalcs  cuando  csta 
dactasuacu  sc  ongine  por  expresj  pcticiOn  del  mismo;  la  conservation  de  los 
■formes  durante  un  pla/o  prudential,  xiempre  y  cuando  se  cucnte  con  las  mcdxUx  dc 
•egrrviad  adecuadax;  la  difuudn.  con  una  finalidad  cicntifica.  o  mcramcnic 
dhulgatna.  de  los  problemas  dctcctadox  en  la  auditoria  y  las  soiuciones  a  los  nusmox 

■  prexumente  xe  dixgregan  los  datos  de  forma  tal  que  no  puedan  asotiarse  en  ningun 
cato  lot  nusmox  a  personas  o  empresas  detertninadas;  ni,  por  tiltimo.  la  revelacidn  del 
■otto  por  unperatiso  legal  siguiendo  los  causes  corrcspondientes.  debkndoxe.  aun 
Ml  nuntcoer  al  nxisimo  la  cautela  que  i  in  pone  dicho  Icsanumiento  del  secreto. 

En  lot  casos  cn  que  cl  auditor  act  lie  por  cuenta  ajena  en  el  marco  contractual 
ouNetxJo  con  la  empresa  por  medio  dc  la  cual  presta  sus  scrsictos  al  auditado.  la 
Bacanusida  dc  la  informacidn  rccogida  durante  la  auditors*  a  su  empresa  deberi 
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circunscnbirxc  unicamente  a  lox  datox  administrativos  rtguladorcx  dc  mi  actividad 
(prccto  dc  la  auditoria.  gastox  generadox.  licmpo  cmplcado,  mcdiox  dc  la  cmpma 
utili/ados.  etc.).  cxcluycndo  dc  dichi  information  lox  dates  tdcmcox  observados  cn  d 
xixtema  mlonnitico  o  lox  relackmadox  con  cualcxquicni  otrox  aspect  ox.  a  no  sex  que  d 
auditado  consicnu  (chaocntcmcntc  cn  que  dichox  dates  scan  cnlregadox  a  Im 
responvahlex  dc  la  emprexa  que.  en  cate  caxo.  quedaran  a  su  ve/  obhgadox  a  nuntcatr 
cl  sccrcto  profcxional  xobre  lox  mixmox. 


7.2.24.  Principio  de  servicio  publico 

La  aplicacidn  dc  estc  principle  debe  malar  al  auditor  a  hater  lo  que  extd  ra  n 
mane  y  sin  perjure  *>  dc  lox  intcrexcx  dc  xu  clicnic.  para  cvitar  daftos  sociakx  como  loa 
que  poeden  product  rxe  cn  lox  case*  cn  que.  durante  la  cjccucidn  de  la  audAorU. 
dcxcubra  elementox  de  software  daAinox  (virus  informiticox)  que  puedan  propaganc  i 
otrox  xixtemax  informiticox  diferentex  del  auditado.  I  in  cxiox  xupueMos  cl  audrur 
deberi  advertir.  ncccxanamcntc  cn  forma  gentnea.  xobre  la  cxixicncia  de  dichoi  van 
a  fin  dc  que  sc  adopten  lax  tnedidax  socialcx  infonnalivax  peninentex  pan  a 
prcvcncibn.  pero  deberi  aximixmo  cuidar  cscnipuloxamcnte  no  dar  indicias  qae 
pemutan  dcxcubrir  la  proccdcncia  dc  xu  informacidn. 

F.l  auditor  deberi  aximixmo  tencr  prrxcntc  la  ponderaetdn  entre  mix  entenos  (oca 
personalex  y  lox  entenox  dticox  xuby  accnicx  en  la  xocicdad  cn  la  que  prexu  ux 
xcrviciox.  debiendo  poncr  dc  manificsto  xux  opcioncx  personalex  ctiando  cntncti  a 
contradiccidn  con  la  dtica  social  que  cl  auditado  pueda  presumir  que  nd 
implfcitamcntc  accptada  por  cl  auditor. 

F.xtc  principio  dc  adaptabilidad  u  opoxicidn  conxlructiva  unto  a  lox  prindpn 
cticos  socialcx.  axumidox  como  vilidos  por  la  comunidad.  como  a  las  coxtuatm 
dimanantex  dc  lox  mixmox.  facilita  la  ncccxaria  y  permanente  crftica  socral  ute 
dichox  principles  y  coxtumbrcx.  pcrmiticndo  xu  adaptacidn  a  lax  nuevas  nceexidadesy 
pcrxpcctivas  abiertax  con  cl  progrexo  tccnoldgico  regional  o  mondial. 

La  con  tide  racidn  del  ejerooo  profcxional  dc  lox  auditorex  como  servicio  pMn 
globalmentc  conxrderado.  exige  igualmcntc  una  continua  clcvacidn  del  arte  dc  b 
cicncia  en  el  campo  de  la  auditoria  mformitka.  lo  que  linrcamente  puexle  logranrcm 
la  porlicipacidn  activa  de  lox  profexionalex  dc  dicho  sector  en  la  definktta  dc  lb 
caracterixticax  y  cxigenciax  de  xu  actividad  profcxional  y.  por  code,  en  la  elaboradil 
dc  lox  codigox  deontologKox  rcguladorcx  del  ejerck'io  rc'ponsablc  dc  dicha  actoida* 
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7.2.25.  Principio  de  veracidad 

lil  auditor  cn  >uv  comunicacioncs  coo  cl  auditado  tleberi  tener  sirmpre  preseme 
U  oMigacMn  <lc  avcgurar  la  veracidad  de  *u*  nun i frstac ioocs  on  lov  Kmitev 
tnpoextos  por  los  dcbcrcs  de  rrspclo.  corrrccido  y  secreto  profcsional 

F.I  pnneipio  de  veracidad  no  dcbc.  on  embargo,  contiderane  coma  cottstrcrtido  a 
expresar  unicamcntc  aquello  sobre  lo  que  se  tenga  una  ahsoluta  y  local  ccrtc/a.  vino 
<fc  implka.  con  cl  grado  de  subjetividad  que  cMo  conlleva.  poner  de  mamfievio 
aqoclkv  que.  a  tenor  de  mis  conocimientos  y  de  lo  considcrado  como  "boena  prAcitca 
profeuooal".  tenga  el  suricicnte  grado  tie  fiabilidad  como  para  ser  considcrado 
comunmentc  como  veraz  miewras  no  »c  aponen  datos  o  pruchas  que  demuestren  lo 
comrano 


Et  convcmcnie  tenor  presentes  los  cnlcnos  expuestos  por  nuesiro  Tribunal 
Comiituctonal  al  respecto.  generalmente  aaociado  con  la  actividad  de  lot  profcMonalex 
de  U  comumcaoOn.  quo  indican  que  la  oNigacidn  de  seracidad  imponc  un  cspeclfico 
deter  de  diltgcncia  que  so  puede  y  dcbc  exigir  al  profcsiona!  en  la  transmtsiOn  de  la 
afcrmacidn  sobre  hcchos  que  deben  haber  sido  necesanamcnte  contrasados  con  datos 
cbjctivos.  exduycndo  por  tamo  de  dicha  calificacido  dc  veracidad  u  aquella 
■formation  btisada  cn  "conductas  negligemes"  del  profcsional  y  a  tin  ntfs  a  aquella 
an  provciucnle  "de  quicn  comumquc  como  hcchos  simplcv  nimoret  o.  poor  *dn, 
oer»  invcns'iones  o  msimiacioncx  instdiosas".  considcrando  como  admtsiblc  y 
prtsunMmrntc  vera/  "la  infomuciOn  rcctamcnte  obtemda  y  difundida.  aun  cuando  su 
tout  exactitud  sea  controvertible"  (STC  de  21  de  cnero  de  198b).  ya  que.  como  la 
aula  seatencia  indica.  "lav  alirmaciones  errdneas  son  ines-itables  en  ui  debate  librc. 
de  tal  forma  que  de  imponerse  la  verdad  como  coodicxVt  para  reconocimtenio  del 
dertsho  protegido  por  cl  artfculo  20  I  d)  de  la  Constitucidn  (a  comuiKor  y  rccibir 
afomucifa  sera/)  la  tinica  gar  ant  ia  de  la  segundad  juridica  xeefa  el  tiletcio". 

Los  chtenos  del  Tribunal  Constitucional  sobre  el  alcance  de  la  ohligacidn  dc 
•tnetdad  tun  stdo  rcilerados  asimismo  cn  sucesivas  senlencias  en  las  que  se  expresa 
que  “information  sen/,  en  el  sentido  del  artfculo  20.l.d)  signirici  information 
amprotuda  scgtln  los  cdnoncs  dc  la  profcsionalidad  mformativj,  excluyendo 
imencKoes.  ru mores  o  menu  insidias".  y  qoe  “una  cova  c*  efcctuar  ina  evaluation 
pervnjl  por  dcsfavonblc  que  sea.  de  una  conduct*  y  otra  muy  dixitMa  cs  emitir 
ojetuones.  alirmaciones  o  califtcativos  claramcntc  sejaiorios  desvinsulados  de  exa 
■formation.  y  que  rcsultan  profendov  gntuitamcnte.  sin  justification  alguna"  I  STC 
Kfi/1990  de  6  de  junto);  que  el  derccho  a  la  information  "no  puede  rrstnngirse  a  la 
eominicaciAn  objeliva  y  aseptic*  de  los  hcchos.  sino  que  incluyc  tambkn  la 
nsesJigaciOo  de  la  causacidn  dc  hcchos.  la  valoraciOn  probabilfstica  de  rstas  hiptfccus 
j  b  formulation  de  conjeturas  sobre  esa  posiblc  causae i6n“  (STC  171/1990  dc  12  dc 
wnembre),  que  "la  description  de  hcchos  y  optmoncs  que  ordinanameite  se  produce 
®  In  mfortnacioncs  determuia  que  la  seracidad  despliegue  sus  cfccios  legnimadorcs 
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en  relation  coo  lav  hechov.  pcro  no  rcspecio  dc  las  opmiones  quc  los  acompiAear 
valofaooncs  quo  dc  lov  mismos  sc  hagan.  pocsto  quc  lav  opinioncs.  arena* 
pcrvonalcs  o  jukio*  dc  valor  no  von  susceptible*  dc  venfkaciOi.  y  ello  determinaq* 
cl  drobito  dc  protccctdn  del  derecho  dc  informacidn  quede  dclinitado.  rcspccto  dc  net 
clcmcnlov  valorativov,  por  la  auscnciu  dc  cxprcvtoncx  injuriovav  quc  rcvjia 
inneccsarias  para  cl  jukio  crltico"  (Sl'C  172/1990  dc  12  dc  novicmbrcl:  y  qoc 
regia  constitutional  dc  la  vcracidad  dc  la  informacidn  no  >a  dirigida  taMo  *  'a 
exigcncia  dc  la  total  cxactiiud  cn  la  informacidn  cuanto  a  negar  la  garantia  » 
protect  kn  constitutional  a  quicncv.  defraudando  cl  dcrccho  dc  todov  a  recite 
informacidn  verar.  actuan  con  menovprecio  dc  la  veracidad  o  falscdad  dc  le 
comumcado.  conipoctindosc  dc  nuncra  ncgligcntc  o  irresponsible"  (STC  4Qtl992de 
30  dc  tnarco). 

Asf  pocs.  la  aplkacidn  dc  cstc  pnneipio  cxigc  quc  cl  audtor,  cn  cl  marco  dc  * 
obligation  dc  informar  al  audilado  vobre  cl  irabajo  rcalizado.  crenuniquc  a  cvtc  iKca» 
mis  concluvioncs.  difcrcnciando  los  hcchos  convutadov  dc  lav  optnioncs.  propurvus  j 
valoraciooea  pcrvonalcs.  debiendo  actuar  cn  la  comprobacidn  dc  los  primerov  yea  la 
fundamcntacidn  dc  lav  restantes  con  una  sufkiente  diligcncia  profcsional  pan 
garanti/ar  cl  cumplimicnto  dc  mi  obligation  dc  informar  vcra/jTcnlc 


7.3.  CONCLUSIONES 

El  auditor  informitko  debe  scr  plcnamcntc  convcicnte  dc  que  vu  comporlanMcnU 
profcsional  prevent*  dos  facctav.  intintamente  ligadas.  quc  conf$uran  cl  rdgimen  dc  w 
responvabilidad  (rente  a  tercet  ov 

La  primera  corrcvpondc  a  la  aplicacidn  dc  sus  conocinicntos  tecnicov  con  U 
finalidad  dc  dctcrminax.  cn  base  a  los  mismov.  lav  condicioncv  dc  veguridad.  fiabtlidad 
y  calxlad  dc  los  mcdiov.  clemcntos  o  productos  quc  confomun  cl  sistema  informitxo 
auditado  y  recomendar  las  medtdav  quc  evtime  convenient  para  vu  mejora  o 
adaptation  a  los  objetivov  para  los  quc  ha  vido  dtscAado  o  quc.  a  tenor  dc  la  coyuntaa 
actual  y  prcvisible  a  medio  pla/o.  convtituyan  vuv  perspectives  dc  futuro. 

La  segunda  debe  poncr  dc  manificsto  la  aplkacidn  dc  los  fundamcntoi 
humanivticos  quc  como  persona  y  como  profcsiona]  le  son  dticamcnte  exigibkv  para, 
cn  funcidn  dc  los  rmvmos,  coadyuvar  al  dcsanollo  integral  dc  la  sockdad  cn  la 
prestacidn  dc  vuv  verviciov  y  dc  la  cual  ha  tornado,  para  la  focmacidn  dc  vut 
conocimicmos  y  dcsanollo  dc  vu  propia  pcrvonalidad.  las  ideas  inicgradav  cn  ei 
pat ri monvo  cultural  corrnin  aportado  por  vus  anteccvorev. 

Es,  por  lanto.  inexcusable  tener  prevente  dicha  dualidad  dc  facctas  a  cfcctov  dc  no 
ignorar  ninguna  dc  ellas  so  pretexto  dc  quc  condkionamkntos  tontractuakv.  jurklicov. 
sociaks  o  morales,  k  obligucn  a  cxcluir  dc  su  comporumicntc  profcsional  algun*  dc 
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cfia*  dcbtcndo  tcner  sicmprc  prcscntc.  quc  u  bun  la  aplicacidn  dc  mix  conocimicntos 
Kcmcox  ayuda  al  dcsarrollo  tccnoldgico  dc  la  socicdad.  la  aplicacidn  de  mix 
hodamentos  humanisficox  ayuda  a  la  configuracidn  dc  la  conckncia  moral  de  La 
Bnma.  urviendo  como  clcmcntn  de  formacidn  de  lot  usos  y  costuntbrcs  quc 
(OMiluycn  una  de  lax  fucntct  del  dcrecho  regulador  de  la  coavit'encia  code  las 
personas  quc  la  integran. 

Bn  lot  casox  de  producirsc  algtin  conflicto  eturc  ambus  facctas.  la  pondcracidn  dc 
los  derocho*  cn  jucgo  dcheri  dar  pnmacia  a  I  ox  valorcs  morales  sober  lot  matcrialc*. 
»i  quc  el  fundamento  intimo  de  lax  personas  dcscanxa  en  kn  pnmerus  como 
BMUfcsucidn  dc  xu  propio  item  vital,  y  quc  asimismo  su  transposkidn  al  eniomo 
tonal  debe  imponer  su  prevalent  a  sobre  lox  segundo*.  eviundo  quc  cl  dcsarrotlo 
letnoidgieo  pueda  desvinuar  cl  dcsarrollo  social  quc  ex.  cn  xuma.  el  mix i mo 
expenenie  del  grado  de  cvolucidn  de  la  humansdad- 

Como  colofdo  a  exos  plantcamientot  cabc  rctlcjar.  como  ejemplos  representahvox 
de  U  Normali/aodn  y  aplicacidn  dc  eddigox  de  deoMologla  profcsional.  cl  “Cddigo  dc 
<tica  profesionar  dc  la  ISACF  (Information  Systems  Audit  and  Control  Foundation) 
pm  oriental  la  conducta  de  los  auditors  informdticov  rmembros  dc  dicha  axociacidn. 
y  d  "Cddigo  sic  Conducta"  dc  The  British  Computer  Society,  quc  estabkee  los 
ettindarrs  profexiorules  dc  compete  rxia.  conducta  y  dfica  de  U  piictki  informirica 
ta  d  Remo  Cnido. 

La  ISACF  propone  el  xiguiente  Cddigo  dc  faica  Profesional  para  orientar  a  la 
conixia  profesional.  personal  de  los  micmbros  de  la  Information  SyMcms  Audit  and 
Csntrol  Association  y/o  de  los  posceslorcs  del  Certified  Information  Systems  Auditor 
IC1SA) 

"Los  Auditorcs  Ccrtificados  dc  Sisicmas  dc  Informacidn  deberdn: 

I.  Apoyar  cl  csublccimicmo  y  cumptimicmo  de  normax.  procedi miensos  y 
condoles  dc  las  auditorfas  de  xistcmax  de  inforaucidn. 

1  Cumplir  con  las  Nonnas  de  Auditorfa  dc  Sixtcmas  de  Informacido.  segtin  lax 
adoptc  U  Information  Systems  Audit  and  Condol  Foundation. 

}.  Actual  en  inter**  dc  sus  rmpkadorcs.  accionistas.  dientes  y  publico  en 
general  cn  forma  diligcntc.  leal  y  honcsta.  y  no  contribuir  a  sabiendas  en 
actividades  ilicitas  o  incorrcctas. 
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4.  Mantcncr  la  confidcncialidad  dc  la  informacido  otxcnida  cn  cl  curso  dc  m 
deberes  La  information  no  debcr*  ser  utilizada  cn  bcncficio  propift  * 
divulgada  a  tcrceros  no  Icgititnados. 

5.  Cumplir  con  sus  dcbcrcs  cn  forma  indepcndicMc  y  objclisa  y  cellar  tab 
actividad  quo  comprocncu  o  pare /t a  compeometcr  su  independence. 

6.  Manicncr  su  capocidad  cn  los  campos  rclacionados  con  la  auditoria  y  In 
si  sic  mas  dc  information  median  tc  la  porticipacidu  cn  actividades  dc 
capaciiacidn  profcsional. 

7.  EJercef  sumo  cuxlado  al  obicncr  y  documcniar  material  sulkiemc  sofcct  d 
cual  basar  sus  cooclusioncs  y  rccomendacioncs. 

8.  Inf  or  mar  a  las  panes  insolucradas  del  rcsuliado  dc  las  ureas  dc  aixfitoeu  qtc 
sc  hay  an  rcali/ado. 

9.  Apoyar  la  entrega  dc  conocimicntos  a  la  gcrcncia.  clicnics  y  al  pdblico  a 
general  para  mejorar  su  comprcnsuVn  dc  la  audiiorfa  y  los  ssstemas  dc 
informacido. 

10.  Manecner  alios  csiindarcs  dc  conducu  y  carte  ter  unto  cn  las  aclividadn 
prof csionalcs  como  cn  las  pet  vadav" 

The  Bntish  Computer  Society  por  su  parte  csublcce  un  C'ddigo  dc  Condua 
cuyos  pnneipios  sc  esquemati/an  a  continuation 

1.  Conducu  Profcsional:  la  conduce  dc  los  nuembros  dc  la  AsoeiKidi 
mamendri  la  digmdad.  rcpuucidn  y  alia  cvaluacidn  social  dc  la  profesidn. 

2.  Integndad  profcsional:  N  ingun  miembro  internal*,  cn  forma  desleal.  rcahor 
act  os  cn  detrimento  dc  la  ftputacidn.  interds  o  pcrspectivas  dc  «rai 
miembrus.  y  actuart.  cn  lodo  momento.  cn  forma  fntegra  con  la  Asociatifft. 
sus  miembros  y  los  mtembros  dc  orras  profesiones  con  los  qoc  potdi 
relacionarsc  cn  su  ejcrcicio  profcsional. 

3.  Interds  Piihlico:  Todo  miembro  cn  cumplimicnto  y/o  exoneration  de  it 
rcsponsabilidad  para  con  sus  cmplcadores  o  clicnics  cutdar*  adccuadamna 
los  interests  pdblicos  y  los  dcrcchos  de  sere  eras  personas  y.  cn  particular,  K 
asegurar*  dc  que  los  dcrcchos  dc  propicdad  mtclcctual  dc  Icrccros  no  sc  scat 
pctjudicados  por  sus  actos. 
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4.  Kidebdad:  Los  micmbrot  cumplirlin  sut  oWigac  tones  con  sut  empleadorcs  o 

clicntcs  con  una  complcia  ftdelidad  para  con  les  mi  moot-  Asimismo 

cvitarln  divulgar  la  information  confidential  relation  ada  con  dichas 
personas. 

5.  Compel encia  T4cnica:  Todo  miembro  debcri  ofcitar  dnicamcMc  aqucllos 
semckn  para  los  que  sc  toimderc  competenie  e  informarf  a  tut 
cmpleadorcH  o  clicntcs  sobrc  cl  rovel  dc  preparacidn  y  capacitacidn  que  41 
poscc  cuando  tut  tervkios  hayan  sido  solicitados. 

6.  Imparvtalidad:  Lot  miembrot.  cuando  trabajcn  para  un  dcierminado  clicnsc. 
dcberin  informarte  fchaeicntemcnte  y  por  cscrito  tobre  aqucllos  i  me  re  vet 
que  tengan  y  que  puedan  pcrjudkar  o  incidir  en  la  imporcialidad  de  mi 
dictamen  u  onginar  conflkto*  de  interds  cntrc  amhov 


7.4.  LECTURAS  RECOMENDADAS 
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aaditorfa  Informdiiea  medianie  la  aplkaeirin  de  mdlodos  y  herramientat  de 
Ingtnieria  del  Conocimiento.  Tcsis  doctoral.  Eacultad  de  Informitica  dc  la 
Umvcrtidad  Polikcnka  dc  Madrid,  tepliembre.  1990. 
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7.5.  CUESTIONES  DE  REPASO 


I .  Principles  deonloldgicos  aplicables  a  los  audiloret  informant  os. 


1  Principio  de  t alidad 


3- 


Principio  de  crilerio  propro. 
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4.  iQot  significa  d  principle  dc  cconomfa? 

5.  Important «  do  la  formacidn  tontinua  del  auditor  informitico. 

6.  Grado  dc  independencia  del  auditor  informitico. 

7.  iQui  es  el  principio  de  legalidad? 

8.  Rc*pomahilidad  del  auditor  informitico. 

9.  £A  qui  otiliga  cl  sccrcto  profcsiotul? 

10.  Facctai  quc  configuran  cl  regimen  dc  rciponsabilidad  frcnte  a  lerccrov 
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LA  AUDITORiA  FfSICA 


Gabnt!  Drimemtf  Batibo 


8.1.  INTRODUCCION 

Lo  flsko  en  Infocmiuca.  haxta  abort.  ha  tenido  uru  impottancta  rrlaiiva:  no  cn 
«wo  «  ha  vislo  sicmpre  como  algo  que  soporta  lo  que.  cn  rcalidad.  o  la  Informilica. 
J  qse  ocup*  un  tugar  cn  la  mesa. 

La  UCP  (cnormc).  la  pantalla.  cl  tcclado.  la  imprcuxa.  cables...  y.  ademls.  cl 
taite  con  mi  allombnlla  que  impiden  extender  libros  y  papclcs  tobre  un  cspacio  qsic. 
Bcompfcmtblcmentc.  per  grande  que  sea.  no  cxistc 

Pero  lo  flsko  cn  Informaiica  no  »e  reduce  iliucaincntc  a  lo  expuemo.  csto  es:  dar 
■  toporte  tangible,  un  contincnic  o  vehiculo  a  lo  ctlrco  del  software.  sctdadcra 
acacia  informal  tea  Todo  cuanio  rodca  o  te  incluye  en  cl  coropuudsv.  unibkn  cslc 
■iuno.  ton  lo  fiuco  como  lal.  ail  como  otros  cuncepcus  o  s  irtualwiadei  que.  de  una  u 
«c*  form*,  mlluyen  o  coman  mi  ra/dn  de  scr  cn  el  Entomo  Kfuco  drl  compuiadnr 
como  general  xljd  o  en  cl  del  CPD  como  Unidad  Fiuca  Informal  tea 

Si  te  ha  dicho  que  lo  ffsico  es  algo  tangible  que  proporciotu  un  continence,  medio 
0  vehiculo  y  que.  adetniv  acoge  al  CTD  dcncro  de  »u  entomo.  una  vc /  conseguido  y 
cmblcciA)  deberia  dc;ar  de  preocupar  El  pato  uguieme  es  asegurane  de  que  va  a 
tepnr  dmdo  servicio  siempre  que  se  le  ncceme  y  de  una  mancra  segura  ya  que.  como 
a  todi  actividad,  sc  me/cla  lo  flsko  con  lo  funcional  y  con  lo  bumano. 

la  Auditoria  es  el  medio  que  va  a  proporcionar  la  evidcncia  o  no  dc  la  Scgundad 
Ftoca  en  el  Imbito  en  el  que  sc  va  a  desarrollar  la  labor  profcsional  Es  por  tamo. 
fcjgMQQ  asumir  que  la  Auditor?*  Ffuca  no  se  debe  limnar  a  comprobat  la  exiileocia 


lie  lot  mcdiot  fiticot.  tino  tambidn  tu  funcionalidad.  rational  idad  >  segundad.  palitn 
etu  ultima  que  poede  retumir  o  incluir  a  lat  antcnorcs  y  lie  vat  a  un  vubtitulo  de  ear 
copftulo  quo  proiooguc  cl  ya  cMablccido  dc  Aoditoria  Fftica  coo  cl  de  Auditoria  if  k 
Srguridad  Ffska. 


8.2.  LA  SEGURIDAD  FISICA 

No  etiin  muy  claras  Us  frunicrat  qoc  dctimilan.  u  ci  qur  k>  haccn.  lot  donuna 
y  retpontabilMJadcx  dc  k»  I  ret  tipos  dc  segundad  que  a  lot  utuano*  dc  La  Infonniaa 
dchen  micrctar  segundad  Idgicj.  segundad  Utica  y  segundad  dc  lat  Cotnumcancarx 
Quiri  foera  mi*  prietko  aunarlat  y  obtener  una  segundad  integral,  aunque  hay  qar 
rcconoccr  lat  diferenciat  qoc.  cvidcntcfncntc.  cxittcn  entre  soft.  hard,  hard-toft,  hsrd 
qoc  soporta  al  soft  v  soft  qoc  moetc  al  hard. 

La  segundad  fftica  garaMiu  la  integndad  dc  lot  active*  humanos.  Mgicot  j 
matcnalct  dc  un  CPD  Si  tc  entiende  La  coo  tinge  nua  o  proximidad  dc  un  daAo  com 
la  dcfinkido  dc  RicifO  dc  Fallo.  local  o  general,  tret  serian  lat  medidat  a  prrpmr 
para  «er  unluadas  en  relation  con  la  cronologfa  del  fallo: 


8.2.1.  Antes 

Ohtener  y  mantener  un  Nivel  adecuado  dc  Segundad  Fftica  tobre  lot  actum 

Kl  Nivel  adecuado  dc  Segundad  Fftica.  o  grade  dc  teguridad.  et  un  conjuMo  de 
acetones  unlizadas  para  evitar  cl  Fallo  o.  en  to  caw.  aminorar  lat  contccocncun  qtt 
dc  dl  tc  poedan  dent  ar. 

lit  un  conccpto  general  aplicable  a  cualquicr  actividad,  no  tdlo  informal  tea,  ce  la 
que  lat  persona*  Kagan  uto  particular  o  profctional  dc  cniomot  flticot. 

•  Ubicacidn  del  cdificio. 

•  Ubicacidn  del  CPD  deniro  del  cdificio. 

•  Companimcniacidn. 

•  Klc  men  kit  dc  coottruccido 

•  Potcncia  cldctnca. 

•  Sittemat  contra  inccndiot. 

•  Control  dc  accetov 

•  Scleccidndc  pcrtonal. 

•  Segundad  de  lot  mcdiot. 

•  .Medidat  dc  protcccidn. 

•  Duplicacidn  de  mcdiot. 
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IA2.  Durante 

Ejecuur  un  PUn  de  Contingcncia  adccuado. 

Ed  general,  demure  cs  cualquicr  evemo  que.  cuando  oexirTC.  tienc  la  capactdad  <le 
■lemimpsr  el  normal  proccso  dc  una  entpresa. 

La  probabtlidad  dc  que  ocuna  un  dc  satire  cs  muy  ba>a.  aunque.  si  se  diera.  cl 
iupacto  podria  ter  un  grande  que  rcuiltara  faul  para  la  organizacKln.  Como,  por  olra 
fare,  no  es  corrietue  que  un  rtegocio  rrsponda  por  si  mismo  ante  un  acoMecimiento 
cento  el  que  sc  comenta.  sc  deduce  la  neccvidad  dc  contar  con  los  medics  necesarios 
ptn  afronlarlo  Kuos  medios  quedan  definidos  en  el  Plan  dc  Rccupcracidn  de 
Deustrcs  que.  junto  con  cl  Centro  Altcmativo  dc  Proccso  de  Datos.  constitute  cl  Plan 
it  Contingent-in  que  coordina  las  ncccsidadcs  del  ncgocio  >  las  operas' tones  de 
ncuprracidn  del  mtsmo 

El  Plan  dc  Contingeocta  inexcusablcmentc  debe: 

•  Realirar  un  Anilisi*  de  Riesgos  de  Sisicmas  Criticos  que  determine  La 
Tolcrancta  dc  los  Sistemas. 

•  tsublcccr  un  Periodo  Critic©  de  Recuperacidn  en  el  cual  los  proccsos  deben 
ter  reanudados  antes  de  sufrir  pCnlidas  significativas  o  irrecuperablcs 

•  Realirar  un  Andltsis  de  Aplkacioocs  Criticas  por  el  que  se  establcccrfn  las 
Prtondade*  de  Proccso. 

•  Determirur  las  Prioridades  de  Proccso.  por  dias  del  aAo.  que  mdiquen  cuilcs 
too  las  A  plicae  tones  y  Sistemas  Criticos  en  cl  momento  de  ocumr  cl  desastre 
y  el  or  den  dc  proccso  comedo. 

•  Etublcccr  Objetivos  dc  Rccupcracidn  que  determinen  el  periodo  de  liempo 
i  boras,  dias.  sc  manat)  entre  b  declaracido  dc  Dcsattrc  y  el  momento  en  que  cl 
Centro  Altcmativo  puede  procetar  las  Aplicaciones  Criticas. 

•  Dcsignar.  entre  los  distintot  tipos  cxiitcMcs.  un  Centro  Altcmativo  dc  Proccso 
dc  Datos. 

•  Atcgurar  la  Capactdad  dc  las  Comuntcactoncs  > 

•  Atcgurar  la  Capactdad  de  los  Scrvictos  dc  Back-up. 
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8.2.3.  Despues 

Lox  C ontratoa  de  Scgwox  xie-ncn  a  compcnxar.  cn  mayo*  o  menor  mod 
pCrdulax.  gaviox  o  rcxponxabtltdade*  quc  xe  pucdcn  denvar  pan  cl  CPD  a 
dctectado  y  corrcgido  cl  Fallo. 

IV  crtrc  la  gama  dc  xcgurox  exixtentcx.  xc  pucdcn  xcAalar . 

•  Cenirot  deproceto  y  eqwpamiento  Sc  contrata  cobcrtura  xobre  daftoftocoa  J 
el  CPD  y  cl  equipo  conicnido  cn  <1. 


Recoruiruccidn  dr  medio*  sofr*nrr  Cubrc  cl  daAo  produodo  iobce  media 
j ofl  i anio  |<m  quc  xon  propicdad  del  lomador  del  xeguro  como  aquelkx  qat 
conxtituyen  xu  rexponxabilidad 


Gaitoi  extra:  Cubrc  lox  gaxtox  extra  quc  xe  demon  dc  la  contmuxdad  dc  Ik 
operacioncx  trax  un  deiaure  o  daAo  cn  cl  CPD.  Ex  xufkientc  para  compenx* 
lox  com  ox  dc  ejccucidn  del  Plan  dc  Cortingencia. 

Interrupt  ion  del  tugocio.  Cubrc  lax  pCrdidax  dc  bcneficiox  ndOf  cauxadax  par 
lax  caidax  dc  lox  mcdiox  infomukicox  o  por  la  xuxpcnxuvi  dc  lax  opcracionet. 

Oocumenlo*  s  regain**  volioto* :  Sc  contrata  para  obtmer  uru  compcitxacida 
cn  valor  mctilico  real  por  la  pCrdida  o  daAo  flxico  xobre  documentor  y 
regixtrox  valioxox  no  am  paradox  por  cl  xeguro  de  ReconxUuccidn  dc  Mcdiox 
Software. 


Erroret  »  imiwnri  Propuroona  protection  legal  arte  la  rexponxabilidad  ea 
quc  pudicta  incumr  un  profcxional  quc  cometiera  un  acto.  error  u  otmxiAn  qoe 
oeaxione  una  pkrdida  fmanoera  a  un  clterte. 

Cobertura  de  fidelidod.  Cubrc  lax  plrdidax  xlcnvadax  de  aclo*  dexhonextox  o 
fraudulemox  comctidox  por  cmplcadox. 

Irons porte  de  medio*.  Propotciona  cobertura  ante  pCrdidax  o  da  (Vox  a  lox 
mcdiox  tranxportadox 

Controtot  con  proxeedoees  Jr  de  mantemmtenu*  Provecdorei  o  fabrkanicx  quc 
axeguren  la  cxixicncia  de  repuextox  y  conxumiMcv  axl  como  ganrtiax  de 
fabncacxdn. 
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Contratos  de  mantenimieul©  que  garaniM.cn  la  asixtcncia  tdcnica  a  los  equipos  e 
tnstalacioocs  una  vez  cxtinguidas  las  garantfus  <Jc  fabncacidn. 

No  son  realmcntc  Scguros.  ya  que: 

•  Lot  primcro*  se  ubicarian  cn  Nivel  adcvuado  de  Scguridad  Ftuca  <cl  antes). 

•  Los  segundos  pueden  kxali/arve  tanto  en  cl  Nivel  adccuado  (el  antes)  como 
en  el  Plan  (cl  durante). 

No  obstante,  dada  su  forma  y  mi  control  adrninisirativo.  sc  lev  puede  consider ar 
como  Segurov. 


8.3.  AREAS  DE  LA  SEGURIDAD  FI  SICA 

Sc  ha  expocsto.  hast*  el  momento.  un  cstudio  de  las  tres  modulus  a  preparar  para 
ter  utiliradav  vegiin  cl  momento  del  Fallo;  riesgo  de  que  sc  pcodu/ca,  <i  sc  esti 
producicndo  y  coando  ha  pasado.  Todo  ello  partiendo.  como  primer  paso.  de  la 
■bkacido  del  edificio  >  las  circuntianciat  extemas  e  intemas  que  Ic  afecun 

Nada  se  ha  dicho  del  edificio  cn  si  mixmo:  ,.ser(a  capa/.  el  Auditor  Informitico  de 
revitar  la  construccidn  y  cl  estado  actual  de  su  infracstroctura  con  sus  defectos,  vicios 
y  posiblcs  cnfcrmedadcs?  Mis  aun:  j.cs  capa/  de  diagnosticar  en  estc  tema? 
Eodcntcmcmc.  como  tal  auditor,  carccc  de  la  capacidad  y  prcparacidn  neccxarias  para 
ello  Por  tan  to.  debc  considcrarsc  al  edificio  como  la  pninera  de  las  ireas  a  lener  cn 
otenta  cn  una  Auditoda  Flsica  y  prever  para  ella  el  auxilio  de  Peritos  indcpendientcs 
que  den  rcxpucstas  a  las  preguntas  a  plantear  durante  la  Fase  2  del  Procedinuento  de 
Asdstoria  AdquisicMn  de  Infonnacidn  General  y  ccrtificacioncs  que  puedan  scr 
ochndas  como  pruebas.  cn  uno  o  cn  otro  sentido.  cn  la  Fase  9  Informe  Final  tras  la 
DutwtUIn  con  los  ResponsuMes  si  huhicra  lugar. 

Las  ireas  en  las  que  el  Auditor  ha  de  interesarse  personal  inente.  una  ve/  que  la 
pane  del  edificio  ha  skIo  cncargada  al  juicio  del  Pento.  tendrin  rclacidn  directa  con  el 
bee  ho  informitico.  sicmprc  considerando  el  aspect  o  ffsico  de  la  seguhdad.  y  que  serin 
tales  como: 


Organigram:)  de  la  empress 

Por  d  se  conocerin  las  dependencias  orgimeas.  funcionales  y  yerirquicas  de  los 
departamentos  y  de  los  distintos  cargos  y  cmplcos  del  personal  podiendo  anali/ar.  con 
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a>uda  dc  documcntacidn  hist  doc  a.  Ian  apropiadas  Separation  de  Funcione*  y  Roucsh 
cn  cl  Trabajo. 

Da  la  primcra  y  mis  amplia  viu6n  dc  copjunto  del  Ccntio  de  Proeeso. 


Auditoria  inlrrna 

Dcpartamcnto  independictuc  o  tubordinado  al  de  Auditoria  Financiers.  a  euat, 
y  colaborador  dc  dstc  cn  cualquicr  caso.  debe  guardar  l»  auditorial  pasadas.  La 
Nonnas.  Procedimientos  y  Planes  que  sobre  la  Scguridad  Fisica  y  su  Auditor!*  ta*a 
emiiido  y  distribuido  la  Aulondad  competent  denuo  dc  la  Enprcsa. 


Administration  de  U  scguridad 

a 

Vista  dosdc  una  pcrspcciita  general  que  amparc  las  func  tones.  dcpcadcncia, 
cargos  y  retponsabilidadcs  de  los  distinios  components: 

•  Director  o  Responsible  de  la  Scguridad  Integral. 

•  Responsible  dc  la  Scguridad  Informitica. 

•  Admimstradores  de  Redes 

•  Admimstradores  de  Bases  de  Datov 

•  Rcsponsablcs  dc  la  Scguridad  activa  y  pasiva  del  Entomo  fistco. 

Notmais.  Proccdimtetuos  y  Planes  que.  detde  su  propia  responsabilidad  hn» 
c  mi  lido,  disinbutdo  y  cootrolado  el  dcpartamcnto. 


Centro  de  proeeso  de  datos  c  iitstalacione* 

Entomo  en  el  que  se  cncuenlra  incluto  el  CPD  coma  e  kmc  Mo  fisico  y  en  cl  ijr 
debc  rcalizar  su  funcibn  informitica. 

Las  instalaciones  son  ele memos  acccsooos  que  deben  lyudar  a  la  realixacstafe 
la  mencionada  funetdn  informitica  y.  a  la  se/.  proporcionar  scguridad  a  las  paxo*. 
al  soft  y  a  lo*  materialcs. 

•  Sala  del  Host. 

•  Sala  de  Operadorcs. 

•  Sala  de  lmpresoras. 

•  Cimara  Acora/ada 

•  Ofkina.%. 
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•  Almaccnex 

•  Sab  de  aparamenu  electnca. 

•  Sab  dc  Aire  Acondioonado 

•  Area  dc  dcscanxo  y  xerxiciox.. 


Son  Ick  clctncntos  principoks  del  CPD:  Hoxt.  tcrmiivalc*.  computadorcx 
ncauiev  equipox  de  altnaccnamtcnio  maxiso  de  datox.  impftsorax.  modiox  y 
temax  de  iciccorMinkacioncx ... 


El  Auditor  debe  inxpeccionar  xu  uKcaciOn  dentro  del  CPD  axi  como  el  Control  de 
Acctio  a  lo*  rntxmox  como  elcmentux  rcxlnngidax. 


CompuUdorrx  pmonalo 

btpecialmente  cuando  extin  en  red.  ton  elememm  mtiy  potcntex  c  indixcrctox  que 
garden  acceder  a  pricticamrntc  c  ujtquier  higar  donde  %e  encuentren  lox  Datox  Iprimrt 
atyrmo  de  toda  teguridad).  por  lo  que  mereccrin  especial  atcncidn  unto  de«de  el 
paiodc  vixu  de  acccxo  a  lox  mismox  como  a  b  adquiucidn  de  copt»  ( hard  y  tofll  no 
aoofuadac  Ex  cxpccialmeMe  delicada  xu  tones  ion  a  lox  mcdios  de  telecomu- 


Srgurfdad  Hxlca  del  personal 

Accexox  y  sal idas  seguras  asi  como  medio*  y  rutax  de  cvacxiandn.  extincidn  de 
■ctednx  y  mcdxss  utili/ados  para  ello  (agua  en  lugarex  con  conduccionex  y  aparalos 
rlktncos.  gases  axfixiantcx.  .).  sistemas  dc  btoqueo  de  puertax  y  xenunax.  ronax  de 
deacamo  y  de  xerviciov.. 

Normas  y  Politicos  cmitidax  y  dixtnbuidax  por  la  Dircccidn  referentes  al  uso  de 
In  usuboooex  por  cl  personal. 


1.4.  DEFINIClON  DE  AUDITORIA  FiSICA 

La  Auditoria  Flxica.  interna  o  externa,  no  ex  xino  una  auditoria  partial,  por  lo  que 
Kdifierc  de  U  auditoria  general  mix  que  en  el  Akancc  dc  la  mixma 
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im  Aupcroau  tvwmvAncA  vs  rioou  nwnco 


Pruel mi 


8.5.  FUENTES  DE  LA  AUOITORfA  FISICA 

Yj  vr  h.i  comcnfado.  hrev  entente  cn  k»  pirrafov  antenorev  cuitev  pueden  w 
albums  de  la*  Fuentcv  doodc  U  Auditorta  m  a  cncontnr  U  mbmucidn  necoarti  pan 
or  gam  rar  y  devarrollar  la  Kate  4  del  Procedimtenio  o  Ciclodc  Vidi  de  la  Auditor!* 
"Plan  de  Amlitoria ~  que  Ic  I  levari  a  rralirar  lav  pertinentev  fVuehav  dc  Cumpli  tract* 
y  SuuaiMivav. 

Un  CPD.  cn  cvencia.  viguc  un  modclo  orgamrativo  miv  o  menov  evtindar.  aixqx 
dchido  a  difercntcv  cauvav.  como  poede  ver  el  lipo  de  empreva  a  la  que  penewet. 
vituacidn  ccondnuca.  divpombilidadcv  de  evpacto.  actitud  de  la  Direcodn.  etc  hacta 
que.  en  realidad.  lov  CPD'v  difieran  bavtantc  lov  unov  de  lov  otrov 

Se  vertalan  a  continuation  algunav  Fuentev  que  deben  euar  accevibte*  cn  tak 
Centro  de  Procevo  de  Datos. 

•  Political.  Normas  y  Planes  vobcc  Segundad  cmitido*  y  divtnbuidov  UMo  pot 
la  Dircccidn  dc  la  empreva  cn  terminov  generate'  como  poe  el  Depiruracnfc 
de  Segundad  viguiendo  un  enfoque  miv  detail  ado 

•  Auditorial  ante  notes,  gencrale  v  y  parciatev  retcrentc*  a  la  Segundad  Fluca* 

a  cujlquicr  otro  tip»*  de  aodrtocU  que.  de  una  u  otra  mancra.  evte  retacxoidi  | 
con  la  Segundad  Hvica. 

•  Contratos  de  Seguras,  de  Proseedores  y  de  Mantenimiento. 

•  Unite  mi  tat  con  cl  pcrvonal  dc  vegundad.  pcnonal  informitico  y  de  otm 
actividadev.  revponvabtev  dc  vegundad  dc  otrav  cmprr«tv  dentro  del  edifoo  j 

dr  la  vrgurwtvH  prneral  del  mivmo.  pervonal  coMrabdo  para  U  limp-cr*  j 

nuniennmento  de  locaicv  etc 

•  Adas  e  Informes  de  lecmcov  >  convuliorcv  Peru**  que  diagnovtiqeca  d 
c via* Jo  1 1 vico  del  cdificio.  elcctncivUv.  fontanemv.  tdemeo*  del  m 
acondicionado.  evpccialivuv  en  elect  rtSmca  que  infomen  vobre  la  caltdad  y 
evtado  de  operativ  idad  de  lov  vivtemav  dc  vegundad  >  alarma.  agenctai  dr 
vegundad  que  proporctooan  a  lov  Vigilante*  juradot.  twmberox.  etc. 

•  Plan  de  Contmgentut  v  \aloracttm  de  las  P rue  has. 
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Inform* i  iobre  occeun  y  mitai  tiioracu  de  on  wtfmi  de  control  de 
entradas  y  salida*  diferenci arxlo  entre  ircit  Penmetral.  Interna  \  RestringKla 

Infonnes  sobre  pruehas  de  evacuation  ante  diferentes  tipoi  de  jwiu/j: 
incendio.  catistrofe  natural,  terrorismo.  etc. 

Infonnes  sobre  cvacuacionc*  reale*. 

Politkai  de  Perianal.  Revisjdn  dc  antccedcnte*  personates  y  laborales. 
proccdimtentos  de  cancclacidn  de  contratos  y  desptdos,  rotation  en  cl  trabajo. 
ptauficacidn  y  distribution  de  tarea*.  contratos  lijos  y  temporal* 

Inventories  de  Sopones  (papcl  y  nutntlicinl;  cintoteca.  back-up. 
procedimicnto*  de  arduvo.  controles  de  solid*  y  recuperation  de  toportev 
control  de  coptav  etc. 


8.6.  OBJETIVOS  DE  LA  AUDITORlA  FiSICA 

M*s  am  ha.  cn  Areas  de  la  Segundad  Hsica  pdrrafo  Computadorcs  Persona  lev.  \e 
4bcu  qae  los  IXttos  son  el  pnmer  objetivo  dc  loda  segundad  Bien  entendtdo  que 
boa  referenda  a  toda  segundad  mformittca.  la  Segundad  Kfsica  n  mis  amplia  y 
tlcanza  otros  conceptos  entre  los  que  puede  ha  her  alguno  que  supere  en  imporuncia  a 
lot  propKM  datos. 

Sin  otro  Ammo  mis  que  el  mcro  orden  hasado  en  una  Idgica  "de  ftera  adeniro". 
pedan  indicados  estos  Objetis  os  como  sigue: 

•  Edificto 

•  Instalationes 

•  Equipanuento  v  tclecomunicadones 

•  Datos 

•  Personas. 


87.  TEC  MICAS  Y  HERRAMIENTAS  DEL  AUDITOR 

Como  se  vert,  no  se  diferrnoan  de  las  tdcmcas  y  herramientas  kisicas  de  loda 
adeerfa  y.  como  en  ellas.  su  fin  es  obtener  la  F.ssdencia  fisica. 
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m»  ai  tun  ml  a  isto«siatk~a  t  vntroQucmAcnco 
Tfcaku: 

•  Obteruuttm  tie  I*  instalaciooex.  Aistcrrus.  cumphmiento  de  NonMi  }■ 
Pmccxlimienlox,  etc.  no  idto  como  espestador  xino  tambifn  coroo  tax, 
comprobando  por  si  rnismo  cl  perfecto  funckmamieMO  y  utili/acifa  6c  la1 
conccf *ox  intcrKXCA 

•  Revision  analitica  tie: 

-  IXxumcntJoon  sober  construes  ion  y  preinxtabcionex. 

-  IXxumrntactOn  sober  seguridad  fl«a 

-  Pol  It  tea'  >  Normas  de  Actividad  de  Sab 

Normas  y  Proccdinucnlox  sober  seguridad  flxica  de  los  datos 

-  Coniraktx  de  Seguros  y  de  Mantemmiento 

•  f  nirrviuat  con  directive*  y  personal,  (ijo  o  temporal,  que  no  de  U  sensacdi 
de  interrogators  para  veneer  el  natural  rccelo  que  el  auditor  socle  despot*  a 
las  empkadox. 

•  Conndias  a  Kcmcos  y  pent  os  que  formen  pane  de  la  pbatilU  « 
independientcx  contratados. 

Ilerra  mien  tax: 

•  Cuademo  de  cumpo  /  grahadora  de  audio 

•  Mikfuina  fotogrdfiea  /  edmara  de  i  ideo 

Su  uso  debe  ser  dtxcreto  y  uempre  con  cl  consenumiento  del  personal  u  estc  m 
quedar  idcntificado  en  cualquiera  de  las  miquinax. 


8.8.  RESPONSABILIDADES  DE  LOS  AUDITORES 

El  Auditor  Informitico.  en  especial  el  Intemo.  no  debc  desarrollar  xu  activdid 
como  una  rnera  fuwid*  policial  dando  b  impresidn  a  los  usuanos  informbicoi  j  i 
resto  de  empleados  de  que  %e  cncucntran  permanentemente  xigibdox.  Exto  crea  ta 
ambiente  temo  y  dcvagradable  que  en  nada  fasoecce  ni  a  las  rcboonea  personates  ■ 
al  buen  desanollo  del  trabajo. 

El  auditor  debc  esforzarse  mis  en  dar  una  una  gen  de  cobborador  que  takas  . 
ayudar  que  en  la  de  fiscaluador  o  ca/a- infract  ores,  Para  ello  es  necexano  que  n  ta 
Normas  y  Procedimientos  emitidos  por  la  Dircocidn  figuren  bs  funciooet  j 
rcsponsabilidadcx  de  los  auditorrs  y  que  ambas  scan  distribuidas  y  conocidas  por  todi 
la  plannlb  de  b  emprrsa 
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Deatro  del  campo  dc  respoosat*  I  xUdes  dc  los  auditorcs.  las  rcfcrenlcs  a 
Segoxbd  Ffeica.  qucdan  cstablccidas  las  siguicnics  para  cada  lipo  de  auditor: 


A  editor  infornulKo  intcrno 

•  Revisar  los  comtrolc*  relative  a  Scgundad  Fflica. 

•  Revisar  cl  cumplunicnto  dc  los  Proccdimienros 

•  Evaluar  Ricsgos 

•  Pamcipor  sin  perder  independencia  en 

-  Sclcccidei.  adquisicidn  c  implaotacidn  de  cquipo*  y  matcrialcs. 

-  Planes  de  Scguridad  y  de  Confingcncia.  scguimiento,  actuali/acidn. 
maMenimicMo  y  pruebas  dc  los  mismos. 

•  Revision  del  cumplimiento  de  las  Politicos  y  Nonnas  sobcc  Scgundad  Fbica 
asi  como  dc  las  funcioncs  de  los  distinios  RcsponsaMes  y  Admimsjradores  de 
Scgnridad. 

•  Efectuar  auditorial  programadas  c  imprevistas. 

•  Enutir  informs  y  efectuar  cl  seguimiento  dc  las  rccomcndaciones. 


Aaditor  information  esterno 

•  Revisar  las  funcioncs  de  los  auditorcs  internos. 

•  Muraas  responsabilidades  que  los  auditores  intemos. 

•  Restsar  los  Planes  de  Scgundad  y  Contingcncia.  Efectuar  Pruehas. 

•  Emitir  informes  y  rccomcndaciones 


IS.  FASES  DE  LA  AUDITORfA  FISICA 

Sigaiendo  la  Nlctodologia  F.DPAA  y  sin  pcquicio  de  alguru  pcqucAa  difcrcncta. 
nfa  que  nada  en  el  orden  o  el  imbito  de  las  fascs.  cl  Cklo  de  Vida  quedaria: 

Fate  I:  Alcancc  dc  la  Audnorfa 

Fuc  2:  Adquisicidn  de  Infortnacido  General 

Fate  3:  Administracidn  y  Plamficacidn 

Fa*  4:  Plan  dc  Auditoria 

Fate  5:  Resultado  de  las  Pruebas 

Fasc  6:  Conclusiones  y  Comcniarios 

Fibc  7:  Borrador  del  Inform 

fine  8:  Discusidn  coo  los  Responsible*  dc  Area 

Fasc  9-.  Inform  Final 


It;  ACPHOHU  ishjumAiic*  UN  EWOqt'l1-  fKACHOU _ 

•  Informe 

•  Ancxo  al  Informe 

•  Oipcu  de  Evidences 

FaxcIO:  Seguunicnto  dc  la*  Modificacioocx  acordadax. 

8.10.  DESARROLLO  DE  LAS  FASES  DE  LA  AUDITORIA 
FfSICA 

Rcsulu  Clara  la  prictica  idcntidad  cnlre  cl  Ciclo  dc  Vida  dc  la  Auditoria  Ran 
con  cualquier  orro  dc  una  aodilorfa  difcrcntc. 

Con  la  intencidn  dc  ofrccer  algo  prictko  dcntro  dc  lanla  (curia.  xe  cvpooe  i 
coMinuaodn  cl  dcxarrollo  dc  la  Face  2  Adqun ifidn  dr  Inform ■«  i<*>  rcleicntc  a  on  Fte 
dc  Contingcncia.  xiguiendo  la  t&nica  del  checklist  para  un  ritcjot  enicmlimaento  dr 
kvx  cooccptov 

ta  liOa  ex.  naiuralmcmc.  oncmatixa  y  en  mngun  cavi  xe  puede  eonxidtnr 
complcu. 


Auditoria  del  plan  de  contingencia 


Faxr  2  Adqukkion  dr  Inforrnacion 


/ Uurrdo  dr  Emprrsa  para  rl  Plan  dr  Cantingrnria 

•  (.llay  algun  acucrdo  oral  o  cxcrilo  per  pane  dc  la  Dircccidn? 

•  ;.Ha  cmitido  y  dixiribuido  la  emprexa  Polfticax  o  Normax  dingidax  al  Plan  dr 
Contingencia? 

•  iQu<  perxona  o  departamento  lienc  la  rcxponxabilidad  del  Plan? 

•  lax  rexponxabilidadex  de  Planeamicnto  bien  definklax.  difundidu  j 
entendidax  por  lodo  cl  personal  ' 

•  iSc  mantienc  una  extrategia  corporativa  en  cl  Plan?  Todox  los  dcpanairxma 
deben  cooper ar  en  el  Plan  dcxdc  xu  propia  cspccialidad  o  rcxponxabilidad. 


cahivijoi 


i  AtDnrmiA  mtcx 


,'Jncluycn  lov  prcvupucvtov  emprcvarialcv  foodov  dcvtinado*  il  devarrollo  y 
mantcnimiento  del  PUn  de  Cootingencia? 


Amtrjo  de  un  Prattso  Altemtfiro 

•  ,,Evtil  cl  Acucrdo  obligado  c  unpucMo  legal  mcme  cuando  <e  produce  un 
desavtrc? 

•  iEv  compatible  el  equipamiento  del  Proccvo  dc  Datav  en  cl  Ccrtro  Altemativo 
con  el  equipamiento  en  cl  CPD? 

•  ^Proporciona  cl  Centro  Altemativo  ui  (Wienie  capactdad? 

*  iCuindo  foe  la  ultima  vex  que  *c  probd  el  Centro  Altemativo? 

•  tCuile*  fueron  lot  objetivo*  y  el  akancc  dc  la  prueba? 

*  iCulIc*  fueron  lov  rcvultadov  dc  la  prueba’.  (qucdaron  k»  revultados  bicn 
documcntadov? 

*  tHan  tide  implcmcntadav  accionev  correctiva*  o  cvtln  prcvxvtav  para  una 
(dura  implement*:  Wo’ 

*  JEsli  prevista  una  pcvSxima  prueba  de  mo  del  Centro  Altcmativu? 

'  iUtilira  la  empreva  algun  equipamicnio  dc  proccvo  que  pueda  no  evtar 
vopotiado  por  cl  Centro  Altemativo? 


htCtcaAn  tie  ftaios 

•  iTienc  la  ctnpresa  un  Centro  Extemo  para  cl  almacenamicnto  dc  lov  btiti-up? 

•  tSc  ha  realirado  alguna  vez  una  auditoria  de  lav  cintas  y  divert  almacenadov 
en  el  Centro  Back-up  Exlcmo? 

•  tCuil  es  cl  Procedimiento  de  Acctao  al  Centro  Extemo  para  li  obtencidn  de 
i  kn  back-up  en  el  cavo  dc  un  devaMre? 

•  iCuil  es  cl  Procedimiento  de  Tranvpoite  de  lov  back-up  ckvde  el  Centro 
Extemo  al  Centro  de  Proccvo  Altemativo? 


www.FreeLibros.me 


iCuil  o  la  cvtralegia  para  la  RcvlauraciOn  de  programav?.  cverki  aim 
nadai  let  apticacionri  vimultineamente  o  cn  lav:'  havadav  cn  pnondafo? 


•  tHa  itdo  avignada  pnondad  de  rotauracidn  a  cada  aplicactdn?  , 

•  .Man  vhJo  identif  icadov  todov  lov  arehivov  crfticoi?  ■ 

•  4, Sc  han  creado  lav  hack-up  dc  lav  archivov  crilicov  vcgiin  una  have  mrttoal 

•  iExivic  un  minima  dc  trev  oclov  de  copva*  dc  hack-up  cn  el  Centro  Eueraa? 

•  ,  l-.xmcn  copiav  acluali/adav  dc  lov  tnfonnev  del  Sivtema  de  Gotrin  de  Cm 

almaccnadav  cn  cl  Centro  Back-up  Evierno?  ! 

Manual  Jr  I  Plan  dt  Connngtncia 

•  ,.C6mo  c<4i  evtructurado  cl  Plan? 

•  iEt  ficil  dc  veguir  el  Plan  cn  cl  cavo  dc  un  deiavtrc? 

•  .  Indica  cl  Plan  quidn  «  cl  ropomaMe  dc  doarrollar  urea*  cspccfficas? 

•  cCdmo  se  activa  cl  Plan  ante  un  doavlrt? 

•  tC<5eix>  evtin  cootctodov  cvjm  procedimicnto*  de  activacidn  cn  In 
proccdirmento*  de  cmcrgcncia  norro.de*  dc  la  emproa? 


•  4 Han  lido  peohadov  evtov  procedirroento*  cn  un  lot  dc  doaxtre  umulado? 


cContienc  el  Plan  proccdimicntov  que  fijen  lov  datov  cn  lav  eta  pa v  tiuculct* 
lav  Opcraciono  de  Rccuperacidn0 

.Incline  cl  Plan  proccdiimcntov  para  (ravladar  cl  proccio  dode  el  Cetta 
Altcrnativo  al  Centro  Rotaurado  o  Nuoo? 


,  Contienc  cl  Plan  liitadoa  del  Inventano  del  procevo  dc  datov  y  hard  dc  coaa 
ntcactono.  voftware.  fonnulano*  prcimprooi  y  nock  dc  papcl  y  accevcnot’ 

i Evtin  actual iradov  lov  livtmev  telcfdnicoi  del  penonal  de  Rccupcracifo  d 
conto  cmplcjdov  del  Proccio  dc  Datov.  alia  dtrcccidn.  uvuanov  finalev  j 
vendedoro  y  vummivtradoerv? 
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•  iC6mo  csli  mantctudo  cl  Plan? 

•  tQuicn  ex  cl  roponsablc  dc  actual  irar  cl  PUn? 

•  iSc  manttcne  cl  Lag  dc  distribucibn  del  Plan? 

•  iCuindo  fuc  actual  i/ado  cl  Plan  por  ultima  vei? 

•  iExhte  una  copra  del  Plan  cn  cl  Centro  Externo  dc  Back  up? 

8.11.  LECTURAS  RECOMENDADAS 

IVxnat.  A.  J.  y  Douglas.  I.  J  Audilon'a  Informant  a  Paramnfo.  Madrid.  I9B7, 
Conrui jt«i<T  Planning.  Auerbach  Publishers. 


8.12.  CUESTIONES  DE  REPASO 

1.  Difcrcncie  entre  xeguridad  k>gxa.  xegundad  ffsica  y  xeguridad  dc  lac 
consume  aooocs.  poniendo  v  arias  ejcmplos  dc  cada  lipo. 

2.  Explique  cl  concepto  de  "nivel  adecuado  dc  xeguridad  IlMCa". 

J.  iCdmo  definirfa  lo  que  comtituye  un  “deware"? 

4.  iQut  lipm  dc  segurm  cxisten? 

5.  i,Qu<  mediox  dc  extincibn  dc  fuc  go  conoce? 

6  cPor  que  ex  import  ante  la  existcncia  dc  un  sistema  dc  control  dc  entradas  y 
sabda*? 

7.  iQue  tecnicax  crcc  que  von  lac  mix  adecuadax  para  la  auditorfa  ffsica? 

S.  vCuilcs  suclcn  scr  las  rcsponsabilidadcs  del  auditor  infornitico  mterno 
rcxpccto  a  la  auditorfa  ffsica? 

9.  iQue  aspect  os  considera  mix  msportantes  a  la  hot  a  dc  aoditar  cl  plan  dc 
contingcncia  desde  el  punto  dc  vista  de  la  auditorfa  ffsica? 

10.  iQue  riesgos  habria  que  controlar  cn  cl  ccnuo  de  proccso  altcinativo? 
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AUDITORIA  DE  I.A  OF1MATICA 


Maiuel  G6mez  Vaz 


11.  INTRODUCClbN 

El  tdrmino  ofimitica.  comOnmcnte  utili/ado  cn  difcrentct  dmbitot  profctioiulc*. 
■o  aparrcc  dcfinido.  tin  embargo,  en  el  diccionario  dc  U  Real  Academia  Etpatola  de 
b  Lcegua  Aunque  cl  objeiivo  de  cue  capftulo  no  conti  Me  en  deter miur  el  conccpto 
it  ofimitica  m  cn  profundim  tobre  el  mitmo.  rctulta  impretcindible  ditponcr  dc  una 
defatcidn  que  sirva  de  punio  de  partida  para  el  dcta/Tollo  del  tema  que  not  ocupa  A 
ttiet  efcctov  pamremot  dc  la  defiwctdn  rcaliuda  por  Schill.  cMcndicndo  ofimitica 
cmdo  el  titiema  informati/ado  que  genera,  pcoceta.  almaccna.  recupcra.  comunica  y 
frevenu  datot  relacionadot  con  el  funcionamicnto  dc  la  oficina. 

El  coocepto  dc  ofimiiica  nace  a  comknnn  dc  la  putada  ddcadi  y  lat  primerat 
ifbcacionct  te  dcsarrollan  tobre  lot  compirtadorct  ccntralct  dc  lat  orgamracioncv 
Ainquc  Ut  oficina*  tiempre  han  tido  comidcradat  como  pioncrat  en  la  utiliracidn  de 
Imamieniat  tnformitica*  para  el  dctarrollo  de  tut  actividadcv  detde  comicn/ot  de 
lot  noventa  te  ha  produodo  un  ctpectacular  crtcimienio  cn  la  denunda  dc  uttemat 
oftmiuot  que  todavfa  continua  acreccniindotc  Ejcmplo*  de  ello  ton:  lat 
ipbcanone*  etpeclficat  para  la  gettidn  de  lareat.  como  hojat  dc  cikulo  o 
procetadorct  dc  lextos;  herramienut  para  la  gettidn  de  documentor  como  control  de 
expediente*  o  tiMcmat  dc  almaccnamicnto  dptico  dc  infoanacidn;  agenda*  y  hate*  de 
date*  pc  nonale  v  title  mat  dc  irahajo  cn  grupo  como  cl  corrco  clcctrdnko  o  el  control 
de  flujot  de  trabajo*:  etc. 

la  etoluodo  tufnda  en  cl  entoeno  mkroinformitico  ha  condiciotiado  el 
detarTollo  dc  lot  titiemat  oflmificos  actualc*  El  aumento  de  la  pot  me  u  dc  cdlculo. 
b  alta  c alidad  dc  lot  producto*  >  la  rcdoccidn  dc  cottct  dc  let  computadorct 
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pcrvoiuJo  y  las  edacwocs  dc  trabayo.  ha  dcsplazado  cl  dcsarrollo  de  apticaciona 
olimiticas  a  plataformas  inicrouilormilicas  y  redes  dc  irca  local.  Hoy  en  dla.  parcct 
iixocstwruble  quc  los  prodoctos  dcsarroUados  en  plauformas  nucroinformiliCM 
ofreeen  unas  prcstacioncs  y  una  rclacidn  costcAwncficio  muy  superior  a  Us  solociooa 
sobre  computadorcs  ecncralizados.  Edc  desarrollo  de  sistcmas  ofimiticos  la 
manicnido  dos  puradigmas  fundamcnutcs:  cl  escritorio  virtual  >  el  Uahajo  cooperative 
(CSCW.  Computed  Supported  Cooperate*  Work) 

Pixie  mm  aprutimar  cl  concepto  de  esentono  virtual  como  un  ilrnco  pinel 
representado  por  U  portal  la  del  computador.  qoe  sustiluya  la  mesa  de  Irah^c 
Uadicwnal.  y  doodc  sc  cneucntrcn  dtspomblct  todas  Us  herramienus  ncccsanav  fan 
dcsanollar  las  aclividadcs  del  oficinista  l  a  Interfax  debe  pares  er  natural  al  usuanoy 
debe  scr  fdcil  de  aprender  y  utilizar  Las  disersas  aplicaciones.  ademis  dc  realizar  Lb 
lareas  para  lax  quc  han  s*do  diseAadas  de  un  modo  eficaz  y  cficicMe.  deben  integrane 
pcrfcctamenic  entre  d. 

El  CSCW  podria  considcrvse  ctsmo  una  eatensidn  del  conccpto  dc  inlegracirin  & 
aplicacioocs.  De  acucrdo  con  Kraemer.  podriamus  dcfinirio  como  una  multiplictdif 
de  aclividadcs  coordinadas.  desarrolladas  por  un  conjunlo  de  participants  y 
soponadas  por  un  xistema  informitico  Por  coosiguienic.  el  eniomo  ofimitico. 
ademis  de  posiNliiar  la  rralixacidn  del  trabuyo  personal  de  cada  empleado.  debe 
pcmutir  intcrcambtar  U  informaobn  necesaria  en  lot  di versos  procesos  de  b 
orgam/acidn.  asf  como  posiblcs  mteracciones  con  otras  or  gam /ac  woes. 

La  prietka  total  idad  de  los  paqocies  ofimiticos  prescnlcs  en  el  me  re  ado  se  haa 
dcsarrollado  siguiendo  cl  paradigma  del  escriloho  virtual  akanzando  un  grado  de 
devarrotlo  avertable  me  hi  so  facilitando  U  inlcgractdn  con  olros  peoductov  de 
difercntes  fabneantes  Aurrusmo.  durante  los  ullimos  *Aos  se  ha  incremeniado  la 
oferu  de  aplicaciones  CSCW.  dcbido  pnncipalmcntc  al  desarrollo  espcctacular  sufndo 
en  Ian  comunacacioncs.  Este  lipo  de  aplicacioocs  han  incrcmcntado  so 
funcionaltdadcs  y  estin  avan/ando  en  U  implantacidn  de  cslindares  para  b 
in'.egraciOn  entre  sistemas  ofimitico*  de  distinias  or  gam /ac  woes 


9.2.  CONTROLES  OE  AUDITORIA 

La  mayoria  de  los  probtema*  que  se  producen  en  U  informatizacidn  de  ofkintt 
no  dificrcn  sustanculmente  de  los  encontrados  en  otros  imhuos  dc  la  orjaniraoda 
Sin  embargo,  cxistcn  dos  caracteristicas  peculiares  de  los  entomos  ofimitico*  h 
distribution  de  Us  aplicaciones  por  los  difercnies  departamentos  de  U  organi/aetdn  n 
lugar  de  encomrarse  en  una  dnica  ubkacidn  centralizada:  y  cl  traslado  de  U 
responsabtlidad  sobre  cicnos  cooiroJcs  de  los  side  mas  de  informacidn  a  usuanc* 
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fruits  no  dcdtcados  pcofcsionalmente  a  U  informitica.  que  pucdcn  no  comprcndcr  dc 
m  nodo  akcudo  U  importaacia  de  lot  mttntos  >  la  forma  de  rcali/arlat. 

Como  contccucncia  de  lot  dot  factored  enunciadot.  sc  ha  generado  una 
probJtminca  propia  en  ctte  (ipo  de  entomov  adquitactooct  poco  planiftcadat: 
detirrollot  incficaccs  e  incfWientes.  mcluto  ca  procetoa  criticot  para  el  coneclo 
hncionimtctuo  dc  la  orgamraetdn:  falu  de  conciencia  de  lot  utuanot  accrca  de  la 
Kfondad  de  la  informacidn:  uliliractdn  de  copias  ilegaJcs  ik  aplicactoncs: 
pocedimicntos  dc  copiat  dc  tcgundad  dcficiente*:  ctcata  forraacida  del  personal: 
auencta  dc  documeniacidn  sufkicntc.  etc 

Contiderando  kn  problcmat  cxpucslot  >  dejaodo  al  morgen  lot  conccjxos 
dctarrollados  cn  el  capfluto  corretpondtemc  a  la  auditoria  de  redet  para  cvitar 
MtapamicMov  hemot  elaborado  una  rclacidn  de  conirolet  de  mdiiorti  hastens  Lot 
eomrole*  sclecctonados.  tin  conformar  una  rclacidn  cahauativa.  han  udo  detcritoc  de 
Ul  modo  que  pucdan  ter  de  apltcacidn  a  cualquier  orgamzacidn.  adiplindolot  a  lat 
aractcritocat  de  la  mitma.  En  algunot  eniomot  vcri  nocetario  algiin  control 
adicional  que  no  te  cncucntrc  cntre  lot  propuctiot  y  en  ottos  cMomm  alguno  de  lot 
conirolet  pucde  no  rctultar  adccuado. 

Los  conirolet.  que  te  pccaentan  agrvpadot  tiguiendo  cnienot  rclacionadot  con 
ufeciot  dc  cconomia.  eficacia  >  cficiciKia:  segundad  y  condicionames  legal et.  ton  lo 
wfKKntemcnie  generates  para  terwr  de  hate  en  la  elaboracidn  del  guido  dc  irabayo  de 
la  labor  del  cquipo  auditor. 


9.2.1 .  Economia,  eficacia  y  eficiencia 

Iteterminar  si  rl  invenlario  ofimitteo  rrfleja  eon  rsactitud  lot  cqulpot  y 
apikaeionrt  rtitlenlrt  m  la  orjjantzaeido. 

A  causa  del  bajo  cotlc  de  muchot  componcnlev  retulu  difful  nuniener  un 
ntgtstro  liable  de  lodat  lat  comprat  que  rcali/a  la  organi/acidn.  Con  frecticnoa 
algunot  deponamentot  tonean  lot  procedimicniot  de  auioriracionet  dc  compra 
euablecidot  demro  de  la  orgamraetdn.  por  cjcmplo.  utilirando  faciurat  de  adquitictdn 
de  material  no  invcntanablc. 

Un  intenlario  poco  fiablc  pucde  repercutir  en  el  balance  de  a  orgamraetdn. 
fouNlnando  que  no  te  dciecten  suuracc tones  de  equipamicnio  informiticn  o  de 
bcencut  de  programat  contraladat.  Hemot  selecoonado  csle  control  cn  primer  lugar. 
ya  que  la  fiaNlidad  del  inveniaho  retuhari  indispensable  para  auditar  otrot  commies 
pnscniadot  postenomtemc 
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El  equipo  auditor  comprobard  quc  sc  ban  dcfmido  mccamvmos  para  garmuar 
quc  todos  lov  cquipot  adquiridot  en  la  organiracidn  ton  debulancrtc  invcnUnadoc 

Dcspocv  conitatari  la  conciliation  rcali/ada  cn  la  tiltina  auditorfa  firuaoen 
entre  el  inventario  oficial  y  tat  adqimicionet  cfcctuadav  Mit  tarde,  rcvitando  tolas 
las  dcpcndcncias.  almaccncs  y  archives,  claborard  una  rclaudn  exhaustiva  de  \x 
equipo*  informiticos  y  de  lat  aplicaciones  y  arch  isos  quc  residen  cn  los  misrnot  Ea 
esta  rclacidn  debe  quedar  rcllcjada  lambiifn  la  versidn  correspmdicnte  a  cada  usu  de 
las  apticacioncs  instaladas. 

Finalmcnlc.  identificari  las  difcrencias  rcalct  entre  la  rcbcidn  elaborada  pot  el 
equipo  auditor  y  el  inventario  oficial  pan  proccdcr  a  la  tubtanacidn  de  los  errores 
detcctado*. 

Dcterniinar  y  vtaluar  cl  procedimicnto  dc  adqulslrioncs  dc  cquipot  y 
apUmciones. 

Una  politica  dc  odquttkiones  dcsccnirahzada  cn  la  quc  cada  depanameolo  x 
cncarguc  dc  rcalixar  tut  comprat.  ofrcce  vcotajat  cn  cuanto  a  fcxibihdad  y  capaodal 
dc  rcaccidn  dc  los  mismot.  pero  podria  acairear  sign!  ficali  vat  pdrdida*  ccondmim 
para  cl  conjunto  dc  la  organi/acidn. 

El  equipo  auditor  comprobara  quc  cn  cl  procedimicnto  dc  adquitictdn  tc  valor* 
atpectot  relativot  a  la  ncccsidod  real  dc  los  cquipot  soliciiadas  y  a  la  intcgracidn  de 
dichos  cquipot  con  cl  sistema  cxittcntc.  En  cl  cato  dc  coopra  dc  paquetes  o  de 
oomntacidn  de  detamdlos  extemos.  dctcrminari  si  las  prcstacionct  ofrecidat  pot  d 
producto  solicitado  sc  ajutun  a  Us  activ idadcs  quc  sc  prctcoden  dctarrollar  con  <1;  u 
las  plaialonnat  cn  las  quc  van  a  ter  instaladas  lat  aplicacimct  ticnen  tuficicMe 
capocidad  para  sopotiarlas  dc  un  rnodo  cficientc;  si  los  nucsos  products*  pueden 
configunrsc,  cn  cato  dc  nccctidad,  pan  obtener  suficienfes  pittas  dc  auditorfa  que 
pcrmitan  cfcctuar  un  seguimiento  dc  las  anomalfat  producidas  durante  tu  cjccucidn;  y 
la  cxpcriencia  y  tolvcocia  del  provccdor. 

Futiando,  dal  invanlario  dabidamanla  Kliulirodo,  tulioni  lot  proccdimMom 
para  la  adquiticidn  dc  lot  productot  seguidos  en  lot  divertos  departamentos  de  U 
organizucibn  y  determinant  la  cxistcncia  dc  cquipot  y  apticacioncs  similarcs.  En  cato 
dc  quc  los  diversot  departamentos  dc  la  com  pah  fa  real  ken  pedidos  sobre  cquipot  > 
complcmcntos  dc  mancra  indcpcndicMc.  ettudiari  si  te  esti  dcsaprovcchando  la 
potibilidad  dc  ncgociar  dctcucntos  mcdiantc  la  aplicacidn  dc  uaa  politica  ccntraliradi 
dc  comprat.  Del  mismo  modo.  contidcrard  otrot  mccanitmot  quc  pudicran  reducir  k» 
cosies  dc  la  organincidn  cornu  podria  ter  la  ncgociacidn  ccntrali/ada  dc  compra  de 
licenciasde  apticacioncs. 
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iieterminar  y  rvaluar  la  politics  dr  mantrnimienlo  drfinkU  cn  la  orga- 
■zacUn. 


Lor  proecdimientox  dcvcentrali/adox  han  propiciado  que.  cn  ocauoncs.  lox 
cqopm  adquindox  no  wan  incluidox  m  cn  cl  invenuno  ni  cn  lor  contratox  tic 
■uMcninucmo.  lnclu\o  podria  llegar  a  xuccdcr  que  cl  pcrronal  dc  b  otgamracidn 
ocargado  del  mantcnimicMo  no  dixpuxicfa  dc  lox  conocumcntur  rccexanox  paia 
■etarto  a  cabo. 

El  cquipo  auditor  craminari  la  utiliucidn  dc  lax  garanllax  dc  lot  product!" 
adquindi".  comprobando  que  no  re  rcali/an  pagox  inncccxanor  pot  axixtcnciax  dc 
cqnpot  y  aplicacioncx  que  re  cncucntrcn  cn  garantla.  Para  dk).  dchc  a  vcnOcar  que 
lot  utuinox  fmalcx  coooccn  cl  ertado  dc  lax  garantiax  dc  cada  uno  dc  lox  productox 
qtc  cxili/an  y  lor  mccaruxmox  para  haccrlas  cfcctivax. 

PM  to  que  rcvpccta  a  product!."  cuya  gar  anils  hay  a  caducado.  dctmnmari  cuilcx 
dnpcom  dc  cootrator  dc  man  tern  miento  vi  genie*  con  emprexax  extemix  y  cuilcx  ton 
iqucllox  cn  lot  que  la  rexponrabilsrUd  del  mantcnimicMo  rccac  cn  la  propta 
crganizaciiSn.  Hn  lax  contratacionex  dc  mantctumiento  con  emprexax  ertemax. 
vtnficari  xi  re  han  incluido  cn  cl  conirato  axpectox  como  cl  ucirpo  mix  into  dc 
rexpuexu.  rccambiox  y  mano  dc  obra.  manicm miento  preventive,  etc.  TambtCn 
cooprobari  que  cl  pcrrooal.  unto  intcrno  como  exiemo.  axignado  cn  tareax  dc 
nansenimicMo  ticne  xulicicntcx  conocimacntox  dc  lax  pUtaforma*  que  debe  mantcncr. 
y  que  recibe  la  fomucidn  adccuada  xobre  loir  nuerox  product!"  muladot  cn  la 
orginuactM). 

En  relation  con  la  gettidn  dc  incidcnciat  producida*.  cl  cquipo  auditor 
oomprobari  la  cxittcncia  dc  un  rcgixlro  dc  lax  mirmax.  lot  proccdimicniox 
otiblccidox  para  axignar  rccuixox  para  tolucionarlax.  lox  guionex  preparadox  para 
tolvcnur  lax  incidcnciax  mix  frccucnlcx  y  cl  rcguimicnto  dc  lar  mixmax  haxu  xu 
retoiiKidn  lambiCn  valorari  xi  el  t  tempo  cm  pic  ado  para  aicndcr  Ux  xolicrtudcx  y 
revolver  lax  incidcncux  producidat  puede  llcgar  a  afccur  al  funcitnamicnio  dc  la 
orginiracidn. 

Evaluar  la  calidad  dc  lax  apltcackmcx  dd  entorno  oTimatico  drxarrollada  por 
gcrvnnal  dc  la  propia  organi/ackbi. 

La  utiltzacidn  dc  hcrramicnux  ofimiucar  por  lot  uxuariox  final  ex  u  propiciado  cl 
dexurollo  dc  apticacioocx.  cn  muchox  caxox  xin  Ux  debtdax  garanllax  dc  fiabilidad. 
C¥vo  mal  (uncionamicnto  puede  rcpcrcutir  xignificativamcnte  cn  la  actividad  dc  U 
orginiracton  cuando  re  irate  dc  aplicacioncx  que  gcxuoncn  proeexox  enucox  Por  otra 
parte,  tambidn  ex  comun  que  lox  dcxtrtolk"  cn  extox  entomox  no  hayan  xc guide'  lox 
cootrolcx  dc  calidad  y  tegundad  xuficicntex,  povibtliUndo  que  algan  programador 
kaya  introducido  "puertax  traverax-.  bombax  Idgicax  o  cuaJquict  otro  mccanixmo  que 
fuVra  perturtw  cl  huen  funcionamicnto  dc  la  aplicacion  dcxarrolLada 
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F.1  cquipo  auditor  dctcrminari  la  cxistcncia  dc  un  dcpaiumcnto  rcsponsable  de 
coniroUr  cl  dcsarrollo  dc  aplicaciones  dc  toda  la  organi/aoda.  y  quc  sc  tun  Irfihlt 
proccdimicntos  gcncrales  dc  pcticidn.  autonzacidn.  asigaacidn  dc  pnoodadet. 
programacidn  y  entrega  dc  aplicacioncs.  o  bicn  si  los  dcpartancntos  han  dcsartoUada 
aplicacioncs  dc  uso  intcrno.  hajo  \u»  propios  critcnos.  tan  control  dc  un  dcpaiunxta» 
responxable.  fin  el  caso  dc  desarrollcn  rcali/ados  por  personal  dc  los  prop* 
dc  pom  memos,  cl  cquipo  auditor  tendri  quc  detemunar  si  la  mctodologfa  cmplcadi  y 
tos  test  dc  pruebas  sc  ajustan  a  lo  dispocsto  cn  la  organizacidn. 

Al  igual  quc  cn  cl  caso  dc  las  aplicacioncs  adquiridas  o  dcsamslladas  fucra  dc  U 
organi/acidn.  comprobard  quc  las  aplicacioncs  dcsanoltadas  mtemamente  pueda 
configuring  para  obtener  las  suficicntcs  pistas  dc  auditoria  qae  pcrmitan  cfectuar  in 
scguimicnto  dc  las  anocnalias  prodocidas  durante  «u  cjccucido  Asimismo.  scrificaif 
quc  los  dcsarrolkw  sc  rcali/an  sober  un  entorno  dc  dcsarrollo,  evitando  opera 
dircctamcntc  sobre  los  datos  rcalcs  dc  cxpkXaciCm 

Tamhicn  cs  tarca  del  cquipo  auditor  exanurur  cl  rtponr  dc  incidcncias  de  la 
aplicacioncs.  ad  como  las  rcclamacioncs  manifestadas  por  los  clicntcs  y  uuure* 
corno  indicios  para  dctcctar  aqucllas  aplicacioncs  quc  podrfan  rsur  funcionando  de  m 
modo  andmalo. 

Ksaluar  la  torrcccidn  del  proctdimlcnto  cxistrnle  para  la  rcalizacidn  dr  l« 
cambios  dc  version**  y  aplicacioncs. 

Los  cambios  dc  aplicacioncs  o  dc  scrsiones  pueden  prodicir  situaciones  dc  ftki 
dc  intcgracidn  y  de  mcompatibilidad  entre  los  nucsos  productos  imtalados  y  lot 
exist entes  con  antenoridad.  Pnicticamcntc  la  total idad  dc  las  noevas  vmkmcs  ua 
c  .spaces  dc  manejar  los  formatos  utilizados  por  senaoncs  an  ten  ores,  pero  no  sictsprr 
ocurrc  cn  sentido  contralto 

HI  cquipo  auditor  determinari  la  existence  dc  procolimicMos  formal  mette 
cstablccidos  para  la  autonzaetdn.  aprobaetdn.  adquisicidn  dc  nuevas  aplicacioatt  y 
cambios  dc  vereiones.  Asimismo.  comprobard  quc  las  aplicacioncs  instaladas  y  lot 

ramhtos  ile  seismnes  han  segnido  lottos  los  trimilrt  cxiftAy*  cn  el  procedaimsoto 

cstablccido. 

Tambidn  sc  ocupard  dc  detemunar  si  sc  han  analizado  los  problcmas  de 
intcgracidn  y  Us  mcompatibilidades  quc  pueden  plamcar  los  nuevas  produce* 
pres  iamente  a  su  implantacidn:  si  sc  ha  cstablecido  algiin  plat  para  la  formacidn  de 
los  uvuahos  finales  quc  sayan  a  utih/ar  cstos  nucsos  productot:  y  n  los  cncargados  dc 
mantencrlos  han  adquindo  kxs  conocimicntos  suficicntcs  para  cue  los  cambios  quc  sa» 
a  producirsc  no  impactcn  ncgativamcntc  cn  el  funcionamicnto  dc  la  organizacidn. 
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Iktcrmiiuir  >i  lm  usuarios  cuentan  con  suflcientr  formacion  >  la 
documrolacibn  dr  a  peso  iscersaria  para  dcsarrollar  sus  lareas  dr  un  modo  tficar 
y  rfirirnlr. 


Un  conoomicnCo  dcficicnic  dc  las  funcionalidades  dc  la*  aplicacono  por  pane 
<3c  k»  usuarim  finale*  o  dc  los  cncargadm  del  mantenimienco.  piedc  oeaxionar 
pfedida  dc  cftcacia  y  cticiencia  en  la  utili/acidn  de  lac  inismas.  No  debemos  olvidar 
que  careccr  de  los  conocimientm  neccxarim  puede  scr  debido  tanlo  a  qoc  los  usuartos 
»  ban  cido  formadm  como  a  que  no  ban  aprovcchado  dcbidamcnce  los  cursm  de 
famtaridn  recibidm. 

FJ  equipo  auditor  decerminari  la  exisccncia  de  un  plan  dc  formaetdn  para 
gxranti/.ir  que  todo  cl  personal  conoce  lm  pcoductos  que  tiene  que  utilirar.  incluycndo 
In  nuesas  aplicacione*  y  las  s-crsiooes  msuladas.  Tambkn  comprobtri  que  Has  la 
■caluacibn  de  lm  cursm.  sc  aplica  algdn  mecanismo  para  leccrmmar  cl 
tproveehamiento  conscguido  por  lm  alumnos.  y  *i  se  enticga  a  lm  usuanos 
Axumentacidn  biuca  de  la  oprrativa  del  producio.  o  si  poeden  acccdcr  a  ella 
(kilmente  en  caso  dc  nccesidad. 

Igualmence.  cocnprobari  que  lm  empleadm  utili/an  las  posibilidaies  que  ofrrce 
d  producto  y  no  simulan  procedi micnios  utili/ados  en  vcrsiones  prcvias  o  en 
affcaciones  utiliradas  con  anicnortdad  Asimismo.  evaluanS  lm  nccanismot  y 
amnios  estabkcidos  para  soluciooar  las  dudas  y  problemas  planteadm  detemunando 
■  b  itsponsabtlidad  de  solucionarlm  correspoode  a  un  equipo  de  toxxte  corncln  a 
tab  b  organtracidn.  o  bicn.  recae  sobre  cl  prupio  departamento. 

Detrrmlnar  id  el  slstcma  rxistrnte  st  ujiista  a  las  neersidades  reales  de  la 

«rgaati*cl6n. 

La  exisccncia  de  equipm  obsoletm  o  infrautili/ado*  puede  ocasiour  situacioncs 
qee.  por  nula  distribucibn  de  lm  equipm  a  las  ncceudades  de  la  ocganizactbn. 
irpcrcuian  cn  el  corrtcto  funcionamicnco  de  la  misma. 

El  equipo  auditor  sidecar i  el  uso  que  sc  reali/a  de  lm  cquijm  existences, 
ebbonndo  una  relacidn  de  aquellm  compuiadores  que  no  se  cncucnrcn  operatises 
Aiinusmo.  res  1  sari  las  aclividadcs  que  se  eyecutan  en  cada  equipo  determinando 
ajurllos  pocstm  de  trabajo  qoe.  por  las  (areas  que  desempeflan.  neccsitan  scr 
MOtnati/adm  o  precisan  actuali/ar  lm  equipm  existences:  as(  como  ajucllos  puesem 
qo t,  debedo  a  su  eseaxa  actividad.  sc  cncuentran  sobredimensionadm. 

A  la  sista  de  lm  rcsultadm  obecnidos.  elaboeari  una  relacidn  con 
CKtanendaoones  sobre  dcscacalogacibn  de  produclos  obsoletm.  rcdstribucioncs  y 
aiquisx' tones  de  nuevm  equipm  y  aplicacione*. 
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9.2.2.  Seguridad 

Determinar  d  cxivtcn  earanliw  wlkicmn  para  protcger  lav  accctov  bo 
autorizadot  a  la  informacidn  revert  »da  dr  la  rmpresa  v  la  intrgridad  dr  b 
mivma. 

Lav  aplicacioort  ofimiucat  gettionan  informacidn  retcrvada  como  agenda*  dr 
comactot.  informed  tobre  temat  confidencialet.  evtadfvticav  obtentda*  cco 
informacidn  extrafcb  de  la  Km  dr  datot  corporativa.  etc.  Lot  accctov  no  autonzadea 
o  lav  incontivienciat  cn  ette  tipo  de  informacidn  pueden  comprometer  el  hue* 
funcionamienio  de  la  orgamzacidn. 

Al  margen  de  lot  rcqucnmicntov  qoc.  en  un  futuro.  divponga  el  rcglamcnto  de 
tegundad  en  dcvarrollo  del  anfculo  9  de  la  Ley  Orginica  5/1992,  de  rcgubcidn  dd 
iratamiento  automatizado  de  datov  de  carictrr  personal,  pentheme  de  aprobacidn.  h 
organizacidn  ha  de  evtablecer  lav  political  y  proccdimientov  de  tegundad  necevanm 
para  garantizar  la  confidencialidad.  mtcgridad  y  divponibilidad  de  la  informacida 
almacenada. 

Lav  funcionalidadcv  en  materu  de  tegundad  de  lav  aplieacionet  olimiticat  y  lot 
viviemat  operativov  de  lot  compuiadorrv  pertonalcs  ve  han  incremental) 
ugnificativamcntc  cn  h»  illtimov  aftot.  oftroendo  un  mvcl  de  tegundad  aceptabk 
No  obttanic.  garantizar  el  cumplinMcnto  de  algunav  de  bt  medidat  de  seguridad 
cxpoe'tav  a  continuacidn  cxigiri  rccumr  a  la  adquiticidn  de  paquetet  adicionalct  y, 
vobre  todo.  la  adopcidn  de  medidat  organizanvat. 

FJ  cquipo  auditor  exammari  la  documcntacidn  en  matena  de  tegundad  exiutnte 
en  b  orgamzacidn  v  comprobari  que  han  tido  dcfmidov.  al  menov.  proccdimicntot  dr 
clavificacidn  de  la  informacidn.  control  dc  acceto.  tdentifK'aciOn  y  aulcnticacido. 
gettidn  de  topottet.  gettidn  dc  incidcnciat  v  controlc*  dc  auditoha.  Coa 
pottenoridad.  pstari  a  comprobar  ti  lat  medidat  dc  veguridad  defimdav  ve  encuentraa 
realmente  operativat. 

tin  pnmer  lugar.  iSercmvinanl  si  el  procedi mienlo  de  cltwificacidn  de  U 

informacidn  cttablccido  ha  tido  ebborado  atendiendo  a  b  tentibilidad  e  importance 
dc  la  mivma.  y  comprobari  que  toda  la  informacidn  ve  ha  clatificado  en  funcidn  dc  lot 
critcnot  ettableodos. 

Tras  verificar  que  lat  funcionet.  obligaciooct  >  rctpontabilidadet.  en  materu  de 
veguridad.  dc  cada  poets o  de  trabajo  ettin  ebramente  defimdav  y  documcntadav. 
comprobari  que  ve  han  adoptado  lat  medidat  necetanat  para  que  todo  cl  per  torn] 
conozca  tamo  aquellat  que  afecten  al  dcvempefVo  de  vu  actividad  como  las 
rctpontabilidadet  cn  que  podiera  incurrir  en  cavo  de  mcumplirlav 
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F.vaminando  la  rrlackn  actualiradi  Jc  usuanos  del  w  sterna  y  de  ilncchm  tic 
icocto  ctiablccidos.  compohart  quc  eada  usuano  time  autocuaeidn  para  acccstcr 
incamcntc  a  aquellos  datos  y  rccursos  inform*  lie  os  que  prcciva  pan  cl  dcsanollo  Jo 
nt  funooncs. 

HI  equipo  auditor  dcbcr*  comprohar  si  sc  han  cstableodo  procedimicntos  dc 
doKifkacidn  y  aulenucaodn  para  cl  acccso  al  sistema.  Cuando  cl  mccamvmo  dc 
aacnocacidn  sc  have  cn  contraicAas.  deter  mi  ruri  vi  cl  proced.micnto  dc  crcacko. 
tfaiaccnanucnto.  diunbociOo  y  modification  de  las  mismas  garanti/a  su 
coofideficialldad  lambten.  detemunari  u  los  usuanos  drsconcctan  vuv  pucslos  dc 
tahajo  al  nnali/ar  la  jonuda.  y  si  cxtsic  algon  mecamsmo  que  produces  la 
ittcooesidn  aulomllHJ  dc  un  usuario  tras  un  periodo  dc  inactividad  dctcrminado.  o 
Nm.  que  precise  introducir  una  contraseAa  para  poder  rcanudar  el  irahajo. 

En  mngun  caso  olvidari  vcnficar  el  cumplimiento  dc  los  procedimicntos 
Otabkodos  pm  volicitar  nuevos  acccsos  o  modificac  tones  sohre  los  dcrcchos 
dcftnidot  pan  un  uvuano.  y  quc.  excluuvamente.  cl  personal  avion  ndo  sc  ocuparl  de 
oonerder.  altenr  o  anular  los  dcrcchos  de  acccso  sohee  los  datos  y  rccursos 
■formincos. 

El  equips  auditor  analmri  cl  poccdtmicnto  de  notificaeidn  y  gestidn  dc 
■odencias  defmido  en  la  auton/acidn.  detemunando  voiles  son  las  incidcncias 
Kfistradas.  cl  motnento  cn  que  sc  produccn.  la  persona  quc  realm  la  notilkaciOn.  a 
qart  Ic  son  coOMSicadtt.  cl  responsable  asignado  pura  rcsivarla  y  corrcgiria.  los 
dKtos  producidos  y  las  actuacsone*  quc  ha  prosocado. 

Final  mentc.  comprohari  que  lodos  los  soportes  mformaticos  prmilcn  identifWar 
It  informacidn  quc  conuenen.  son  insvntanados  y  sc  almacenan  cn  un  lugar  con 
iceeso  rcstrtngido  drucamente  al  personal  auton/ado.  IgualmcfUc.  raificari  quc  la 
ubda  de  soportes  informiucos  fuen  de  la  organ  i/acidn  e*  dcbidatnrnte  autonrada 

Drtcrminur  si  el  prorrdimiento  de  generation  dr  las  copias  de  respa  Ido  cs 
bblt  y  garanti/a  la  recuperacidn  de  la  infonnacidn  en  caso  de  necesidad. 

La  mformacidn  generada  por  el  si  sterna  dehc  cstar  dispontble  en  todo  moment.) 
La  no  disprutMltdaJ  de  datos.  cspecialmcnle  de  aqucllos  pivedimientos  criticos  pan 
h  organiraodo.  ademis  de  las  convaNdas  perdidas  ccondmicas.  podrta  llevar.  en  cl 
curcmo.  a  la  pamliractdn  del  depanamento. 

Id  equipo  auditor  exammari  el  proccdimicnto  de  copsas  dc  segurtdad  scguido  en 
horganiraetdn.  scrificando  la  sufictencta  dc  la  penodkidad.  la  conecta  asignacidn  de 
mponsabilidadcs  y  el  adecuado  almacenamtenio  de  los  soportes. 


ha  primer  lugar.  comprobari  quo  U  rcsponcabilKlad  dc  rcalirar  Us  copus  * 
scguridad  estd  asignada  >  quc  cadi  responsible  rciliza  copias  dc  la  information  quc  K 
erv.ucr.lra  bajo  su  rccpoosabilidad.  dc  tal  forma  quc  lodos  los  datos  hi 
salvaguardados.  A  continuacidn.  vcrificari  U  cxistcneta  dc  un  insenurio  dr  to 
sopor!  cs  quc  conticncn  Us  copras  dc  scguridad  v  dc  la  informacidn  salsaguordada 

Postcriormentc.  determmari  vi  la  segundad  impicmcntada  para  garantiMr  U 
confide ncialidad  c  inlcgndad  dc  Us  copias  dc  salvaguarda  ofrccc  ganotin 
equivalents  a  Us  dclimdav  para  U  informacidn  quc  conticncn.  unto  cn  los  soporta 
quc  sc  manticncn  cn  los  locales  dc  la  empresa  como  cn  aqucllos  quc  sc  trasladan  a  an 
ubicacidn  externa. 

l-inalmcntc.  controlari  la  cftcacia  del  procedi  mieruo  definido  para  U  recuperate 
dc  las  copias  dc  segundad.  dctcrminando  si  los  sopoctcs  conticncn  la  informacidn  qn 
csti  prcvisio  quc  contcngan.  y  si  cs  posible  U  rccupcracidn  dc  U  misma.  dc  form  qs 
cl  rsultado  final  sea  un  ficl  rcflejo  dc  la  situaetdn  anterior. 

Determinar  si  csti  garanti/ado  cl  funcionamicnto  Inintrmimpidc  te 
aqurlUs  aplicacionev  cut*  caida  podria  suponcr  pc  rd  id  as  dc  intrgridad  dr  b 
informacidn  y  aplicacionev 

En  Us  organuaciooes  sc  dcsarrollan  prove  sen  cn  los  quc  una  cafda  dc  tenute 
podria  ocasionar  pdrdida*  dc  integridad  dc  la  informacidn  y  aplicacionev  maneptex 
en  ocasiones  urecupcraMcs. 

hi  cquipo  auditor  dctcrmiisari  la  cxisicrcu  dc  sistemas  dc  alimcnucite 
intnicrrumpida.  y  si  dstos  cubrcn  cl  funcionamicnto  dc  aqucllos  cquipos  cn  los  qur  a 
cjccutan  proccsos  cuya  intcnupcidn  podria  ocasionar  graves  rcpercusiooes. 

Asimismo.  debe  ocupanc  dc  similar  una  cafda  dc  tensidn.  serificar  si  los  eifapoi 
dc  alimcnucidn  inmicmunpida  entran  cn  funcionamicnto  y  comprdbor  si  cl  tiempode 
actividad  proporcionado  por  cl  sistema  dc  alimcnucidn  inintcmimptda  cs  sufximt. 
para  U  finali/acidn  dc  los  proccsos  criticos  y  la  dcsconcxidn  del  sistema. 

Determinar  d  grado  dc  rxposicidn  ante  U  poxibilidad  dr  intrusidn  dc  tints 

I -os  cosies  dens  ados  dc  U  intrusion  dc  virus  informiticos  sc  tun  multiplicadoa 
los  ultimos  ados:  pdrdida  dc  U  informacidn  y  cmplco  dc  rccursos  y  tiempo  jun 
rcstaNcccr  cl  sistema.  Ilcgaitdo  cn  algunos  eases  a  U  parali/acidn  temporal  dd 
<le  portamento 

hi  cquipo  auditor  analirari  U  protcccidn  estaMccida  cn  cada  uno  dc  los  pan* 
del  sistema  por  los  quc  podrian  mtroducirse  virus:  disquetcras.  mddem.  accctoi  a 
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redes.  etc.:  y  rcvisaru  U  nonmativa  para  U  instalacido  y  actuali/aci6n  penddica  de 
podwtos  antivirus.  presundo  especial  atcncidn  a  aquellos  casos  cn  quc  la 
■Jormaci6n  manejada  puedc  ser  criltca  para  el  funoonamiento  de  la  organiracidn. 

Asimtuno.  analirari  la  conftguractdn  de  I  os  cquipo*  >  la  iasulacidn  de 
pogramas  quc  permitan  dctcctar  la  existcncia  de  virus,  cvitar  su  iruusidn  cn  el 
interna  y  eliminar  aquellos  quc  se  hay  an  mtroducido. 

En  caw  de  quc  detcctara  algdn  virus  en  alguno  de  kw  cquipos.  el  cquipo  auditor 
udermari  inmediaumenle  al  rcsponsable  aulon/ado  sugincndo  las  mcdidas  quc 
earn*  pmineotes  para  cvitar  la  propagaodn  del  rrnsmo. 


9.2.3.  Normative  vigente 


Detrrminar  si  en  el  entomo  oflmitico  se  produccn  situations  quc  purdan 
upoorr  infraccioncs  a  lo  dispursto  en  la  l-ey  Organic*  51/1999.  de  prolecddn  de 
drtosde  curictrr  personal  1 1.0 PI)). 

La  LOPD  estabtecc  una  sene  de  pnnctpios  y  dercchos  de  los  oudadanos  en 
idacidn  con  sus  datos  de  car  icier  personal  inclindos  en  archivos  autonuii/ados. 

Ademis.  aqucllos  afectados  que  sufran  daAo  o  ksidn  en  sus  btenet  o  dercchos 
coco  consccucncu  del  incumplimtenio  dc  lo  dispuesto  en  la  LOPD.  purden  rcclamar 
hcorretpondiente  indemniracidn  ante  los  Tnbunales  de  Justkia. 

El  cquipo  auditor  deberi  comprohar  la  cxistencta  de  un  inventam  de  archivos 
qv  manejan  dalos  de  caricter  personal  y  consular  que  estc  invenuho  contienc  todos 
lot  archivos  gestknados  en  los  entomos  ofimiticos  Aunque  en  la  mayoria  dc  los 
ca»*  cues  entomos  gestionan  archivos  quc  sc  conslituycn  como  meramente  auxiliares 
de  ottos  cxhtcnics  cn  la  orgaruracidn.  cn  algiin  supoeuo  podrfan  traurse  datos 
pcncnales  quc  no  se  cncontraran  inclutdos  en  ninguno  de  los  archives  o  bases  de 
daot  corporativas.  La  urea  del  cquipo  auditor  consiuiri  eo  dctcraunar  que  los 
irdiivos  que  gcstionan  datos  personales  en  entomos  ofimiticos  se  ervuentran  bajo 
coatrcJ  y  que  han  sido  norificados  al  Rcgistro  General  de  la  Age  no  a  de  Prococckm  dc 
Duos 

Los  conuoles  para  verificar  que  los  archivos  existentes  cumplen  los  preccptos 
Otabkcidos  en  la  LOPD  no  pueden  cxcluirsc  dc  los  procedimientos  jcncraks  para 
todi  la  organirackn.  cxccdtcndo.  por  consiguknte.  del  alcance  del  presente  capitulo. 
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Baste  recorder  quc  el  equipo  auditor  dcbcri  comprobar  la  adccuacidn  y  valuta* 
Ion  procedi  (memos  cstabiccido*  en  la  organization  para  garanti/ar  el  cumplimsenb* 
los  pnncipios  (calidad  de  los  datos.  information  en  la  rccogida.  conwntimicnto  U 
afetiado  para  el  traumienio  y  la  ccsiOn.  scgundad  de  datos.  deber  dc  secreto.  etclj 
dcrcchos  (accexo.  rectification  y  cancetaciOn)  rccogidos  en  la  mencionada  Ley. 

IVterminar  si  en  el  entorno  ofimatico  *e  producen  situacionex  qut  poedat 
su  potter  infraccioncs  a  l«  dixpoesto  en  d  Krai  l>ecrdo  l-rgislatiso  1/19%.  dr  U 
de  abril.  sobre  la  propiedad  inteketual. 

La  mayorta  dc  las  copras  i  legates  utili/adax  en  lax  organuac  tones  corrcspondeai 
apltcuctoncx  nucroinformitH-ax.  en  especial  a  aplicjctones  ofimMtcas  Este  hetto 
puedc  pros  ocar  quc  aqucllos  afectados  quc  sufran  algun  tipo  de  daAo  o  pcrjuicto  cent 
consecuencia  del  incumplimicnlo  de  lo  dixpoesto  en  el  Real  Dcctcto  Legislative)  vbt 
la  propiedad  inielectual.  prcscmen  rccUmaciones  ante  lax  Tribunates  dc  Juxtkia  qx 
pucdan  den  var  irtcluso  causas  criminates 

El  equipo  auditor  dcbcrf  elaborar  una  relation  exhaustiva  de  lax  aplicaocoo, 
rcxidemes  en  equipox  ofimiticov  quc  preciscn  licencia  para  su  utilization.  Em 
relation  se  contrastari  con  cl  invcntano  de  la  organization  para  vcnficar  qx 
coinciden.  y.  en  caxo  tontrano.  deberi  avenguar  cuiles  son  lax  copias  i  legal  me* 
utilizadas. 

El  equipo  auditor  se  ocupari  de  senlkar  la  definiciOn  y  aplkacion  de  incdda 
con  caritlcr  prcscntiso.  tales  como:  la  cxistcncia  de  un  rdgimen  disciplinary  qoe  n 
conocido  por  todos  lax  empleadas.  la  inhabilitaciOn  dc  las  disquetcras  y  ot/os  poem 
de  entrada  y  salida.  y  Us  luniiactoncs  en  el  acceso  a  redes  extcmas  a  la  organizadU. 

Igualmente.  vcnticart  Us  mrdidas  detectivas  exist cntcs  talcs  como:  U  axignaci* 
dc  responsables  quc  sc  ocupen  de  efectuar  exploracionex  penOdicax  de  lax  apltcaciooa 
contcnidax  en  cada  computador  y  dc  analizar  los  nivcles  de  utilizactOn  dc  la 
aplicaciones  compart kUs  en  la  red 

liiulmemc.  comprobarf  la  definition  de  mcdidax  corrcctisas  tales  cocoa  h 
cluninactOn  de  Us  copias  ilcgalcs  quc  sc  localicen;  los  procedi nuentco  para  detensite 
el  modo  de  intrustOn  y.  en  consecuencia.  defimr  medidas  pant  evitar  quc  evu  sittuci* 
sc  reptta:  y  adoptar  Us  acetones  disciplinary  petitncnicv 


9.3.  CONCLUSIONES 

La  mayoria  dc  las  aplicaciones  de  auditoria  en  entomos  oTimiticos  no  difiot 
suxianctalmcMc  dc  las  actuaciones  ncccsarias  para  auditar  sixtemas  ccnlralizadox  Ft 
umbos  casos.  la  experiencia  profcxional  del  auditor  xupone  el  elemcnto  fundamciU 
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pan  U  telcccidn  dc  lot  controlcs  objeto  de  vcrificacidn  y  la  adecuaobn  de  lot  mitmot 
d  tittcma  a  auditor,  Icnicndo  prcscntc  cn  todo  momcnto  quc  la  cvolucidfl  sufridj  par 
toi  cntomot  ofimiticot  cxigiri  conocimicntos  cspccfficat  y  tdcnicat  novedotat. 

la  pretcntacidn  dr  lot  conlrolct  muctira  una  tccuencia  cn  lat  actuaciones  a 
Kalirar  cn  la  auditor!*.  Como  pato  prcvio  al  inicio  dc  La  auditoru  propiamcntc  dicha. 
d  cquipo  auditor  debe  eomprcndcr  cn  profundidad  cl  funoonanucnto  del  tittcma  y  del 
no  que  te  hace  del  mitmo.  avi  como  anali/ar  lot  nctgot  a  lot  quc  ctli  cxpuetio.  Para 
cida  uno  dc  lot  atpcctot  a  revitar.  debe  comprobar  la  dcfimcidn  dc  controlcs 
PRtcniivot.  dctcctitot  y  eorrectitov  Acto  tcguido.  debe  vcnlicar  ti  lot  controlcs 
drfudot  ton  rcalmcntc  aplicadot  por  lot  utuanot  durance  cl  dctanollo  de  tut 
Ktividadrt.  Finalmcntc.  deber*  cmiur  una  valoncMn  accrca  dc  la  wficicncM  y 
tdecuacnVi  dc  lot  conlrolct  dcfimdot  c  implantadot  para  la  prcvcncidn  de  lot  nctgot 
i  lot  quc  »c  cncocntr-a  tometido  cl  tittema. 

IXaanlc  la  cxpoucido  de  lot  conlrolct.  not  he  mot  refendo  con  Irccucncia  a 
dxumcntov  proccdimtcntot  y  political  dc  actuacidn  dcfinidas  c  implantadat  cn  La 
orpmzacibn;  tin  embargo.  cs  un  bee  ho  habitual  quc  algunot  dc  ellot  no  ha  van  sido 
defmidot.  Et  labor  del  auditor,  ademit  dc  conttaiar  tales  dcficienciat  cn  su  informc. 
pnuifur  cn  La  elaboration  de  lot  mitmot.  Kt  dccir.  el  auditor  debe  ocupartc  dc 
detectar  lat  dcficienciat  prctctMct  cn  el  funciooamicnlo  dc  la  orgamzacibn.  pero. 
ademit.  debe  contribuir  con  tu  expcncncia  y  conocinucntot  cn  la  clahoracidn  de  lot 
pocedtmicMot  y  rccomcndacioncs  quc  pemutan  tubtanariat 

Como  contidcracidn  final,  rccomcndar  quc  la  auditorfa  ofimilic*  no  debe 
Mfcurte  de  un  modo  mdcpcndicntc.  Not  parccc  mis  adccuada  la  integration  dc  lot 
coatrolet  oftmMicot  dentro  dc  un  plan  dc  auditona  de  mayor  alcancc.  pnncipalmcntc 
per  axivot  dc  cficacia  y  cfiocncia  cn  la  preparation  y  dctarrollo  de  la  nutma. 
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9.5.  CUESTIONES  DE  REPASO 

1.  iQoi  clcmcnios  tie  un  sictema  informitico  ve  contemplan  dentro  de  h 
oAmdiica? 

2.  F.vplique  el  poradignu  de  excrtlorio  virtual. 

3.  tQud  distingue  U  audiloria  de  ofimitica  de  la  cc  otros  entomov  lafor- 
miticos? 

4.  Analice  lav  repercusioocv  quo  poede  tcocr  cn  uni  cmprcsa  un  invenum 
pocofiable  bajo  lav  pcrspectivav  de  la  cconomia.  la  (Acacia  y  la  eAciencia. 

5.  j,C6tno  dehcria  ver  un  proeedimienio  para  la  realiraciOn  de  cambios  de 
versionc*  de  paquetes  oAmiticov? 

6.  Cakulc  cl  coste  real  de  un  computador  personal  pan  una  empreva  e.eofaa 
cuenia  el  hardware,  software,  mamenirmcmo.  formation.  etc.). 

7.  ,.Que  mecamvmos  de  seguridad  de  lov  que  conocc  ve  pueden  aplkar  a  let 
computadorev  personates? 

8.  Evcriba  un  procedimiento  para  la  utilization  de  equipov  oAmiticov  qtt 
pueda  ser  enlcndido  por  uvuariov  finales 

9.  Analice  lav  print i pales  "vacunas"  csivteniev  en  el  mercado  contra  virus  q* 
afcctcn  a  computadorev  penonalev. 


10.  iQvi  convideracionev  al  cntrxno  ofimitieo  ve  cncueitran  cn  la  LOPD? 
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Al'DITOKIA  DE  I-A  I)IKKCC|6n 


Juan  Mi  furl  Rtunot  Ktcoboui 

10.1.  INTRODUCCI6N 

Stcmpcc  sc  ha  dtcho  que  una  orgam/acidn  c»  un  rcflc^i  de  las  caractcrlslicas  dc 
■  direccidn  Los  modos  y  mancras  dc  acluar  dc  aqodlia  coin  tnfluenciados  pc*  la 
f*»w>fia  y  la  pcrsoiulidad  dc  la  scgunda. 

Obsiamcnic.  los  dcpanamcntos  informitkos  no  son  una  excepcidn.  Aunquc 
putdc  argurocManc  coo  ra/rin.  que.  a  su  sc/,  estos  dcpaitamcnios  min  mtcgrados  cn 
orpat/acioncs  ma yores  y  que.  pc*  tamo,  soo  demnatanos  dc  un  tinfln  dc  estimulos 
dc  las  nusnuv.  qoC  duda  cabe  dc  que.  dado  cl  imbitq  tccnoJOgico  tan  particular  dc  la 
arformltica.  La  principal  influencia  que  dichos  departamentos  reohen  vicnc  indocida 
dtide  la  propta  direccidn  dc  informitica.  En  cualquicr  caso.  c»  cn  lo  que  sc  centra  erte 
opOulo  en  la  auditoria  dc  la  Dirtcddo  cntendida  como  gtuttn  (cn  cl  redo  del 
cafiodo  sc  iniercambiarin  los  dos  tcmunos)  dc  la  Informitica. 

Las  enormes  sumac  que  las  cmprrvts  dedK-an  a  las  tccnotogias  dc  la  informacidn 
ca  uo  crccimiento  del  que  no  sc  vislumbra  el  final  y  la  absoluta  dependence  dc  las 
■tunas  al  uvo  corrcclo  dc  dicha  tecnologia  hacen  muy  ncccsana  una  cvaluacidn 
iedrpeodiente  dc  la  funckfei  que  la  gcaoooa  Elio  coostiluye.  dc  hectio.  la  ra/dn 
principal  de  estc  libro  La  direcsV*i  dc  informitica  no  dehc  quedar  fuera:  cs  una  psc/a 
due  del  engranaje 

Sin  entrar  en  discusioncs  profundas  sober  el  alcancc  y  sigmficado  detris  del 
wrto  dirigir  (no  cs  cl  objetivo  dc  c<ctc  libro  y  rxistm  multitud  dc  plumas  mis 
prcpiradjs  que  la  mfa  para  discrtar  adecuadamcntc  sober  me  aportadoi.  dc  una 
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mancra  general,  sc  podrfa  decir  que  a  I  gurus  de  Us  actisidades  blsicas  de  lodo  proem 
de  diretcidn  son 

•  Plant  ficar 

•  Orgamear 

•  Coordinar 

•  Comrolar 


10.2.  PLANIFICAR 

En  grandes  lincas,  sc  trau  de  pccscr  U  utiluacido  de  Us  tecnotogia*  de  b 
information  en  la  empresa  hsisten  vanos  tipos  de  planes  mfoemiticot  El  pnacipA 
y  origen  de  todos  los  demis.  |o  constitute  cl  Plan  Estrakgico  de  Sistemn  St 
Information 


10.2.1.  Plan  Estrat6gico  de  Sistemas  de  Informacion 

Es  el  marco  bistco  de  actuacidn  de  las  Sistemas  de  Information  en  la  etnpeeu 
Debc  asegurar  cl  alineanucnto  de  los  mismos  con  los  objetivos  de  la  propia  empresa 

Dcsgraciadamente.  U  transformation  de  los  objetivos  de  la  empresa  en  obyrtnu 
informincos  no  e»  siempre  una  urea  ficil.  Mucho  se  ha  escrito  sobre  el  cootctnlo  j 
las  sentagas  e  inconsementes  de  las  diservas  metodologias  de  reali/aciOn  de  estc  apt 
de  planes.  No  sc  trata  en  estos  breves  apuntes  de  terciar  en  die  ha  poJCmsca  FJ  lam 
encontrari  abundante  brbliografia  sobre  la  materia.  El  auditor  debcrl  evaluar  si  uio 
metodologfa*  sc  cstan  utiliundo  v/o  psaeden  ser  de  utilidad  para  su  empresa. 

Estnctamentc  habtando.  estos  planes  no  son  responsabtlidad  exdutiva  dr  b 
Direction  sle  Infocmitica  Su  aprohaciOn  final  probable  mcnic  incumbe  a  «k» 
evtamenbis  de  la  empresa:  C'omitC  sle  Informitica  (ser  mis  abajo)  e  incluso  en  Ohm 
termino  de  la  DirecoOn  General.  Sin  embargo,  la  Direcodn  de  Informitica  debc  tad 
permancmc  impulsor  sle  una  planificactdn  de  Sistemas  de  Informacidn  adecuadt  j  i 
tiempo. 

Aunquc  se  suck  defimr  la  vigencia  de  un  plan  estratdgico  como  sle  3  a  3  aAos.  dt 
hccho  ul  plaro  es  muy  dependiente  del  enloeno  en  el  que  se  raucse  U  empresa  Ha 
mot  bos  factores  que  inlluyen:  la  cultura  de  U  propsa  empresa.  el  sector  de  actisulad, 
es  dccir.  si  la  empresa  se  encuentra  en  un  sector  en  el  que  el  um>  adecuado  de  b 
tecnologfa  informitica  es  un  factor  estrakgko  -cl  sector  financicro.  por  cjcmplo  .  U 
accioncs  de  la  competent  la.  etc.  Cada  empresa  tiene  su  equilibno  natural  y  el  anils 
deberi  evaluar  si  los  pla/os  en  usocn  su  empresa  sun  los  adecuados 


www.FreeLibros.me 

IUM _ CAWTVLO  IQ  DK  LA  PIMPKlO  SO 


Fji  cualquier  c»o,  indepcndicntcmcnte  de  la  mctodotogia.  lot  plum  y  las 
nciaoes  concretat  llcvadas  a  cabo.  debe  cxittir  un  proccso.  con  participation  activa 
te  lot  utuanot.  que  rcgularmcntc  claborc  planes  ettralbgicot  de  Sisiemav  de 
Wcemacibci  a  largo  pla/o.  cualquiera  que  xi  esc  largo,  y  el  auditor  deberi  evaluar  su 
itotcidn. 


Can  dr  auditor!* 


El  auditor  deberi  examinar  el  procevo  de  planificacibn  de  ustemat  de 
■fcmucido  y  evaluar  si  raronahiemente  se  cumplen  los  objetivot  para  el  mitmo. 
Ettre  ottos  as  peel  os.  deberi  evaluar  si: 

*  Daranle  el  proccso  de  planificacibn  te  pres  la  adecuada  atcncibn  al  plan 
esuatdgico  de  la  empresa.  te  estableccn  mccanismot  de  si  ncroni  ration  enue 
tut  grande*  hitos  y  lot  proyecto*  infonnitK'os  asociados  y  te  licnen  en  cuenia 
aspectos  cotno  cambtot  organiutisos.  cniomo  legislative.  cvolucibn 
tccnolbgica.  organizacibn  informiiica.  recursos.  etc.,  y  tut  impact  os  estin 
adecuadamcmc  recog kIos  en  el  Plan  Estratdgioo  de  Sistcma*  de  Information. 
Igualmcnte.  el  auditor  deberi  evaluar  si  se  pre-da  adecuada  consideration  a 
nuevas  tecnologias  mformiticas.  siempre  desde  el  punto  de  vitla  de  su 
oootnbuctdn  a  los  fines  dc  la  empresa  y  no  cotno  experimentation 
tccnolbgica. 

•  Las  ureas  y  acnvidades  presentes  en  el  Plan  licnen  la  corTcspoodicnte  y 
adecuada  asignacibn  de  recursos  pura  podet  lies  arias  a  cabo.  Atimitmo.  si 
licnen  pi  a/ os  dc  comccucibn  rcalisus  en  funcibn  de  la  siluactbei  actual  dc  la 
empresa.  de  la  organizacibn  informiiica.  del  cstado  dc  la  iccnologia.  etc. 


Eotrc  las  accioncs  a  reali/ar.  te  pueden  detenbir 


Lcstura  dc  actas  dc  ses tones  del  Cormk  de  Informiiica  dedicadas  a  la 
planificacibn  cstratdgica. 

Identilicacidn  y  lectura  de  lot  docu memos  intermcdiot  prcscritot  por  la 
mctodologia  de  planificacibn. 

Lectura  y  comprcnsi6n  detallada  del  Plan  e  identificacibn  dc  las 
consult  rac-.  i  me  s  incluidat  en  el  imtmo  sobre  lot  ob jet  isos  emprctariales. 
cambtot  organirativos.  cvolucibn  lecnolbgica.  pla/ot  y  nitelcs  de  recursos. 
etc. 


Reahzacibn  de  enirevisut  al  Director  de  Informiiica  y  a  otros  miembrot  del 
Cotwk  dc  Informiiica  panicipamct  en  cl  proccso  de  elaboracibn  del  Plan 
Lttratlgico  Igualmente.  reali/acibn  de  enttevistat  a  reprctcnuntcs  dc  los 
utuariot  con  el  fin  de  ctaluar  su  grade  dc  pantcipacibn  y  sintonfa  con  el 
contenido  del  Plan. 
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•  Identilkacx'xi  y  comprensidn  de  1cm  mccanismos  ciitlcnic'  lie  tcguimiona; 
actualizacidn  del  Plan  y  de  su  rclaciOn  con  la  cvolucidn  de  la  empresa. 


10.2.2.  Otros  planes  relacionados 

Como  <  ha  comenlado  mis  amha.  nonnalmence.  dehen  existir  o tros  pU» 
mtormaticos.  lodos  cllos  nacidos  al  amparo  del  Plan  Estratdgico.  Entre  otros.  lot  n* 
habtlualet  socle  n  ter 

•  Plan  opera! i to  anual 

•  Plan  de  direccidn  teenolOgica 

•  Plan  de  arquilectura  de  la  informacidn 

•  Plan  de  rccuperackln  ante  desastret 


Algunos  de  ellos  (Plan  tecnoldgico.  Plan  de  arquilectura)  aparccen  a  \«o 
integrados  cn  el  propio  Plan  Estratdgico.  Hn  c\te  capitulo.  sc  tratardn  sdlo  dot  de  cun 
planet,  lot  mi*  eomunes  y  que.  ademis.  siempre  lienen  vida  propia  Plan  operatise  j 
Plan  de  recuperacidn. 


Plan  operatiso  anual 

El  Plan  operativo  sc  establecc  al  comieiuo  de  cada  ejercicio  y  ex  el  que  marc*  hi 
pautax  a  seguir  durante  el  mitmo.  Dcbc  estar.  obviamente.  alineado  con  el  Pat 
Extr  aiegico  Asimixmo.  debe  estar  preccdido  de  una  recogida  de  ncccxMladcs  de  bi 
usuarios. 


El  Plan  operativo  de  Sistemax  de  Informaodn  describe  las  aciividades  a  reatar 
durante  cl  siguiente  ejercicio  natural.  Em  re  otros  aspectos.  debe  seAalar  Icm  uticaat 
de  informacidn  a  devarrollar.  los  c  aminos  iccnotdgicos  presixtos.  lot  recursos  y  U 
plarox  necesanos.  etc. 

HI  auditor  deberd  evaluar  la  exiocncta  del  Plan  y  su  nivel  de  calidad  Debcd 
estudiar  mi  alincareiento  con  cl  Plan  EstralCgtco.  su  grado  de  atencidn  a  hi 
nccesxladex  dc  los  usuanos.  sus  previtioncs  de  los  recursos  necesanos  para  llety  a 
cabo  cl  Plan.  etc.  IVberi  anali/ar  si  has  placos  dcscritos  son  realistas  temendo  a 
cuenta.  entre  otras  cosas.  las  expericncias  antenores  cn  la  empresa.  etc. 
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Ran  d«  recuperation  ante  dn«lr« 

Una  iastalacibn  informitica  poetic  verse  afcctada  por  de  satire*  de  variada 
tafurale/a  tneendio.  inundaetdn.  talks  de  algun  compooente  cruico  dc  hardware,  robo. 
iibouje.  ado  dc  terrorismo.  etc.,  que  tengan  come  comecucocta  mrocdiau  la 
iadivpombtlidad  dc  un  xcrvicio  informitko  adccuado.  La  Direccidn  debe  prever  csta 
poubtlklad  y.  por  tanto.  planilicar  para  hacerle  f rente. 

En  otro  capftuio  dc  cue  libro  it  cubren  lot  aspecto*  relatives  a  la  auditoria  dc  un 
Hm  de  recuperaodn  ante  desatires.  Sin  embargo.  *c  quicrc  scAalar  aqut  que  dicho 
Ran  e* retpontabilidad  dirccu  de  la  Direccidn  y  no  del  respontabk  dc  la  segundad 


10.3.  ORGANIZAR  Y  COORDINAR 

El  proccto  de  organiear  wrve  para  cstructurar  lo*  recurve,  kw  flujon  de 
ikormacidn  >  k*  controls  que  perm  i  tan  akan/ar  k»  objctivo*  marc  ados  durante  la 
ptarficacidn. 


10.3.1.  Comity  de  Informitica 

Una  de  la*  acutacione*  mi*  comdnmente  laneadat  contra  la  informitica  y  lo* 
nkrmittccn  «  la  falta  de  comumcactdn  y  entendimiento  que  *e  e*taWece  entre  cl 
Apartaircoio  dc  informitka  en  la  etnp»e*a  y  el  re*to  dc  la  nuema  El  Comik  de 
Wormkica  e*  el  primer  tugar  dc  encuentro  dentro  de  la  cmprc*a  de  lo*  informitico*  ) 
tot  tnuano*  c*  cl  lugar  en  cl  que  *c  dehaten  kn  grande*  asuntos  dc  la  informitka  que 
tfcctin  a  loda  la  emprc*a  y  permite  a  lo*  usuano*  conoccr  la*  necctidadc*  del 
«■  junto  de  la  orgamraodn  -no  *dlo  la*  de  *u  irea-  y  participar  cn  la  fijacidn  dc 
frioridade*.  Sc  evitan  a*(  acusacionc*  de  favoritism)  entre  una*  irea*  y  otra*.  en 
curao  al  trato  rccibido  de  informitica.  y.  cn  definitiva.  tc  atiende  a  la  mejor 
Bitocidn  dc  lo*  recurto*  informitko*.  tradiciorialmenie  cscaso* 

St  boen  eunctamentc  el  nombramiento.  la  fijacidn  de  functoncs.  etc.  del  Comik 
k  Informitica  no  von  rc*pon*abilidade*  direct**  de  la  Direccidn  de  Informitica.  *mo 
k  la  Direccidn  General  fundamentalmente.  la  Direccidn  de  Informitica  *e  ha  de 
ceewtir  en  el  principal  impultor  de  la  exitlcncia  de  dicho  Comik. 

Antique  no  cxitte  regia  fi>a.  cl  Comik  deberia  e*tar  formado  por  pocas  per*ona*  y 
fnalxlo  por  el  director  mi*  cemor.  dentro  de  la  empresa.  respon  sable  en  Ultimo 
fain  de  la*  tccnologia*  dc  la  informacidn.  F.l  Director  de  informitica  deberfa 
tear  cotno  secret  art  o  del  Comik  y  la*  grande*  irea*  u*uaria*  deberfan  e*tar 
(tptiemada*  al  nivel  dc  *u*  directore*  mi*  senior  A*imi*mo.  cl  director  dc 
Aa&oria  Interna  deberia  *cr  mkmbro  del  Comik.  Otra*  personas  dc  la  orgaw/acidn 
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tambidn  pucdcn  integrant  en  cl  Comitf  como  imcmbtm  tcmporales  cuando  sc  tr 
j\uni<n  dc  mi  incumbencta  o  dc  tu  espccialidad. 


Sc  ha  cscnio  mocho  sobrc  lav  funooncx  quo  dcbe  rcalizar  on  Co 
Informdtica  y  parecc  exutir  tin  cierio  cooxemo  cn.  al  monos,  lot  xigutcntc*  aspeoix-q 


•  Aprobacidn  del  Plan  Extrategico  dc  Sistcmat  dc  Informacidn.  J 

•  Aprohacidn  dc  las  grandes  invcrtionc*  cn  tccnologia  dc  la  information  1 

•  FijxMSn  dc  pnondadet  entre  lot  grandes  proycs'lox  informiticos  I 

•  Vehkulo  dc  dixcuudn  entre  la  Informdtica  y  hu  utuario*.  ^1 

•  Vigila  y  real i /a  cl  xeguimiento  dc  la  actividad  del  Depanamcnlo  *  - 
Informdtica. 


Guia  dc  audiloria 

Al  iraiarvc  del  mdximo  drgano  deettorio  tobec  cl  papcl  dc  tat  levnologus  de  h 
information  cn  la  empreta.  ninguna  audiloria  dc  la  Direcctdn  dc  Informdtica  demerit 
toslayar  xu  rcvitidn.  HI  auditor  deberd  asegurar  que  cl  Comne  dc  Informdtica  ctivtej 
sump  I  e  tg  pa  pel  ados  uadamcnlc. 

Para  dlo.  deberd  conocer.  cn  pnmer  lugar.  lat  funoooes  cncomcndadat  4 
Connie1  Hn  ctle  ponio.  dificrcn  lot  accionct  concretax  que  cl  auditor  debed 
citiprcndcr  ya  que  dependerdn.  cn  gran  mancra.  del  grade  sic  Normali/acidn  unpcraNi 
cn  ta  emprett.  Kn  unot  caxot.  cxixtird  una  norinaliva  interna  cxplicando  lot  objctivoi 
rcsponsabilidadcv  coinpooenres.  etc.  del  Comite  y  cn  oirot  no  cxittird  nadi  de  «oj 
no  habed  mdt  que  rcumoncs  ape  nbd  teas  del  mismo. 

Entre  lat  accionct  a  rcali/ar.  figuran: 

•  Lcctura  dc  la  normaliva  interna,  ti  la  hubicra.  para  conocer  lat  funcionct  qx 
deberia  csimplir  at  Comitd  da  Inforndbca. 

•  lintrevistas  a  ntiembrot  dctiacadot  del  Comitd  con  cl  Tin  dc  conocer  la 
funcionct  que  cn  la  prdettea  rcaltca  dicho  Comite 

•  lintrevistas  a  lot  rcpccscnlantct  sic  lot  utuanos,  mieinbros  del  Connie,  pm 
conocer  ti  entienden  y  cttdn  dc  acucrdo  con  tu  papel  cn  el  mismo. 

Una  vet  cslablcodi  la  cxiucncia  del  Comitd  dc  Informix  ten.  habrd  que  cvaKur  h 
adccuactdn  dc  lat  funcionct  que  realize.  Para  elks,  cl  auditor,  mcdianlc  un  con  junto  dr 
cntrcvistas,  Iccturas  dc  documentacidn  interna  del  Comitd,  etc.,  deberd  esuMeser  u 
juicio  sobre  la  validc/.  adccuacidn.  etc  dc  lat  acliMCionct  del  Comitd.  Unn  dc  k* 
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npectot.  fundamcmalet  que  dcbcr*  rcvitar  ci  cl  que  hacc  referenda  a  la  prcscncia  y 
fKticipacidn  cfcctiva  de  lat  ireat  uuuiut 

fcnrrc  lat  acciooet  a  rcali/ar.  figuran 

Lcctura  de  las  actat  del  ComiK  y  cMitthiat  a  lot  miembrot  del  ranmo,  con 
optcial  modencia  en  lot  repretenumet  de  lot  uwanot  par*  comprobar  que: 

•  El  Conutd  cumplc  cfectivamcnte  coo  lav  funcioncs  cnunciadat  mis  am  ha 

*  Loa  acucrdot  ton  lomadm  correctamciMc  y  lot  puntot  de  vista  de  lot 
repreventantev  de  lot  utuanot  ton  tendot  cn  cucnia. 


10.3.2.  Posicidn  del  Oepartamento  de  InformAtica  en  la 
empresa 

El  tegundo  aspecto  imporunte  a  tcocr  en  ruenia  a  la  bora  de  evaluar  el  papel  de 
h  informitica  en  la  empreta.  ct  la  ubicacido  del  Depart  amenlo  de  In  format  ica  en  la 
otnKtura  orgamrativa  general  de  la  mama.  El  Depanamento  deberia  etUi 
nficicntcmmtr  alto  en  la  jerarquia  y  contar  con  mata  critica  tufioentc  para  ditponer 
de  astortdad  c  mdependencia  frente  a  lot  departamentot  utuanot 

Traditional  nicmc.  la  informati/aciOo  cn  lat  empretat  comcnrd  por  cl 
dtpuumcttto  financiero  o  de  adminittracidn  y.  por  tanio.  cl  etqocma  traditional  era 
eaoMirar  al  depanamento  de  informtUica  integrado  Jentro  del  fmancicro  o 
adninittraeivo  Hoy  en  dia.  la  informitica  da  toponc  a  un  conjunto  mucho  mayor 
fctat  enpretanalet  y .  por  ello.  cada  ter  ct  mat  habitual  cncontrar  a  departamentot 
■fcrmatica  dependiendo  directamentc  de  Direccidn  General  Incluto.  en  lat  grandes 
■pnuacionct.  cl  Director  de  Informinca  es  nuembro  de  derccho  del  ConiM  de 
Ehwccido  u  drgano  temeyante  Siemprc  que  el  depanamento  de  infoonitica  ear 
■rgrado  en  algtin  departamento  utuano.  pueden  turgu  dudat  raronabiet  tobre  tu 
miaumdad  a  la  hora  de  at  coder  lat  pcticioncs  del  retio  de  departamentot  de  la 
■ptu 

Una  ter  mis.  ettricumente  hablando.  la  poticidn  del  Depanamento  de 
hdcraitKa  no  incumbe  mi  Direccidn  vino  a  otrot  ettamentot  emprcsanalet. 
(Rbablemrntc.  la  Direccidn  General.  Sin  embargo,  te  trae  a  colaodo  en  cute  capitulo. 
pmjue  cl  auditor  debe  evaluar  m  lat  neccsidades  de  lot  diferentet  deportamentot  de  la 
I  apeu  too  traiadat  cquitativamentc  por  Informitica  y  no  cattle  un  tetgo  demat tado 
|  rinhacu  wi  depanamento  de  la  misma.  Si  eslo  ultimo  ocumera.  una  de  las  primer  at 
I  mo  para  ello  puede  ter  la  ubicacidn  incorrccta  de  dicho  Departamento 
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(•uia  dc  auditors*  ^ 

El  auditor  dchcri  rcvisar  el  cntpU/amtcnio  organi/aitvo  del  Dcpirunxao  a 
Informiltca  y  cv  alu.tr  vu  independent  ta  frcntc  a  dcpartamcnios  usuanos  Pan  cm 
proceso.  «rl  inuy  util  reals /or  cntre  vista*  con  cl  Director  de  Informitica  y  directon 
Ue  algunos  dcpanaincntos  usuanos  para  conocer  hi  perccpctdn  vobrr  d  gndo  dr 
imlcpendencu  y  atcncidn  del  Depanamcnto  de  lnformStica 


10.3.3.  Descripcidn  de  funciones  y  rcsponsabilidades  del 
Departamento  de  InformAtica.  Segregacidn  de 
funciones 

Ev  ncccsario  qoe  lav  grandcs  unidadev  orgamutivas  denlro  del  Dc|xirummioa 
Informatica  ( origan  his  funciones  detenus  y  »u.t  rcsponsabitidadcs  clanmafe 
dclimiiadav  y  documcntadav  Igualmcncc.  c*  necevano  quo  cvtc  conocimxaio  ■ 
extienda  a  lodo  el  personal  pcrtenecicme  a  Informitica  lodos  ellov  deben  conocer  m 
funciones  y  rcsponiabilidadcs  en  relacidn  con  los  vistemax  de  infotmacidn.  Y  »a 
elk>  es  una  labor  qoe  compete,  cn  gran  medida.  a  la  Dircccibn  de  Inform  silica. 

Por  otro  I  ado.  es  de  lodo  punto  esencial  para  toner  un  entomo  controUJo  qm 
exisla  una  divitidn  de  funciones  y  responsabilidadcs.  La  filosofia  Kisica  quo  dele 
oncntar  eOa  separation  dc  papeles  es  impcdir  quo  un  solo  individuo  pucda  traitors* 
un  proceso  crftico  Ademis.  se  debcria  avegurar  quo  el  personal  de  Informitica  acta 
Onicamcnte  dentro  dc  la  descripcidn  de  las  funciones  cxisiente  para  hi  puesio  a 
trabajo  concrete 

En  particular,  sc  debeha  asegurar  la  segregation  entre  las  funciones  dc  dcsarrtflt 
de  sistemas  de  informaciOn.  la  de  prudocciOn  o  cxplotaciOn  y  I  os  departameMoi  a 
utuanos  A  do  mis.  la  funcidn  de  admsmstraciOo  dc  la  segurtdad  deberia  nor 
claramcnte  separada  dc  la  de  producciOn. 


Asrguramlcnto  de  la  t.  alidad 

I  -a  calidad  dc  los  servicios  ofreetdo*  por  el  Depanamcnto  de  Informitica  debt 
cslar  asegurada  mcdsanie  el  esublecimiento  de  una  funciOn  organirativa  a 
Ascguramienio  de  la  Calidad.  Cada  vei  mis  hoy  en  dfa.  se  asisie.  en  bi 
ivya/w/jcw  w»  mfcvmiiKjt  evotveronadas,  a  h  apaekida  de  am  Amaifa  de  coaOef 
de  calidad  de  los  servicios  informal vcos,  a  imagcn  y  semejanra  de  las  organiuctoea 
cn  cl  tnuodo  industrial.  Esta  (unciOn  dc  control  ha  de  set  independtente  dc  la  actividad 
diaria  del  depanamcnto  y  ha  de  depender  dirccumcntc  de  la  DirecciOo  de  Informiria 
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b  muy  important  que  c\la  funobn.  dc  relative  nuev  a  apartcidn  ct  cl  mundo  dc 
Is  organ  i/aciones  informiticas.  lenga  cl  total  respaldo  dc  la  Direction  y  tea  pervibsdo 
ui  por  cl  resto  del  Depart amemo 


Gob  dc  audiloria 

No  es  propboto  de  cue  capitulo  devcribir  Us  funcioncs  de  un  doarumcnm  dc 
■dormfcica  Id  Jo  *  describe  cn  otros  capitulos  de  cue  libro.  adetnas  dc  que  cxiUe  una 
snpiiuma  btMiografia  sobre  la  materia  tl  aspccto  fundamental  que  quetemm 
Kultor  aqui  c*  que  el  auditor  deberi  com  probar  que  Us  desenpe tones  estin 
docomentadas  y  son  actuates  y  que  las  untdadcs  orgamzativas  inormiticas  Us 
cotnptendcn  y  dcsarrollan  su  labor  dc  acucrdo  a  Us  nusmav 

Entre  Us  ureas  que  cl  auditor  podia  rcalizar.  figuran 

•  tixamen  del  orgamgrama  del  bepurtamento  dc  Informitica  c  tdrntificaobn  dc 
las  grandes  unidadcs  organuativas. 

•  Rcvitibo  dc  U  documcntacido  CMstcntc  para  coooccr  U  desonpcibn  dc  las 
func tones  y  rcsponsabilidadcs. 

•  Rcali/acibn  dc  cnlrcvistas  a  los  dircctores  dc  cada  una  dc  Us  gnndcs  unidadcs 
organ  i/jh  vis  para  determnur  su  conocimicnto  dc  Us  rcsponsabilidadcs  dc  su 
untdad  y  que  boas  responden  a  las  desen pcioocs  cxidentes  cn  la 
documentacsbn  correspond  tente 

•  Examcn  de  las  descnpcioncs  dc  Us  funcioncs  para  evaluar  si  exiuc  adccuada 
segregation  dc  futKioncs.  incluycndo  U  scparacibn  entre  dcsarrollo  dc 
siuemas  dc  informacsbn.  produce  ion  y  departamentos  usuariov  Igualmcnlc. 
serf  mcncstcr  evaluar  la  independence  dc  la  funcibo  dc  tegundad 

•  Otncrvaobn  dc  Us  actisidadcs  del  personal  del  Depanamento  para  anali/ar. 
cn  la  prictica.  las  funcioncs  rcahudav  la  scgregacibn  entre  las  inismas  y  cl 
grado  dc  cumplimicnto  con  la  documentacsbn  anali/ada 


Atetununiento  dc  U  ('alidad 

El  auditor  deberi  evaluar  la  independence  dc  U  funexSn  f rente  al  rruo  dc  ircav 
tpcrativas  del  Departamento  de  Informitica.  su  dotacibn  de  rccurscs  humanot.  U 
experience  dc  los  mitmos.  U  existence  dc  mCtodos  y  procedimicntis  forma les  dc 
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actuation.  lit  potihtlKladct  rcjkv  dc  rcali/ar  hi  trahajo.  cl  contcrudo  dc  lot  inferno 
clahoradot  por  la  funcidn.  elc. 

Knire  1st  acciooct  a  llevar  a  cabo.  tc  poeden  cooudcrar 

•  CooociimcMo  dc  la  poticida  de  la  Funcibn  cn  cl  organigram!  dd 
Dcpatlamento  de  Inform*!  ica 

•  Anilitit  del  grado  dc  cumplimiento  de  la*  actividadc*  del  Dcpartnmento  a 
relation  con  la*  pohocav  ettindaret  >  procedimieniot  ctitieiuet  (ado 
gcncralct  del  DcparumcMo  como  especfficot  de  to*  funciooe*  orgam/ativ  it 
De  particular  imponancia  e*  el  grado  de  cumplimicnio  de  la  mctodologia  dd 
ciclo  de  vida  de  lot  titlemat  de  informacibn.  de  lot  procedimieniot  que 
gotxeman  la  eaploucidn  del  cotnpoiador  y  de  la  uivcMigacibn  de  la  t  alidad  dr 
kxt  datot  qoe  »e  ent  fan  a  lot  usuariov 

•  Rcvitidn  de  algunot  informe*  cmitidot  por  ta  Funcido  con  cl  fin  de  evaloar  a 
to  ettnartura  y  coolenido  ton  adecoadot.  Anali/ar  la  exttlcncia  de  accionct  dc 
tcguimienio  batadat  cn  tbebot  inform*. 


10.3.4.  Est4ndares  de  funclonamiento  y  procedimicntos. 
Descripcion  de  los  puestos  de  trabajo 

Deben  cxittir  ettindaret  de  funcionamicnio  >  procedimieniot  qoe  gobtemen  U 
nciivtdad  del  Dcpartamenlo  de  Informitica  por  un  I  ado.  y  tut  relacionet  coo  ka 
deportamentot  utuanot  por  otro.  litto*  ettindaret  ton  el  vehfculo  ideal  pan 
irantmilir  al  pertonal  de  Inform*! tea  la  fifotofia.  menialtdad  y  aelilud  hacia  lot 
controle*  necevanot  con  la  ftnalidad  de  crear  y  mantener  un  entorno  coMrolado  pan  la 
vida  de  lot  titlemat  de  informacidn  de  la  empreta 

De  particular  imponancia  ton  lot  atpcctot  rclacionadot  con  la  adquiucibn  dc 
r^uipo*.  o  material  pan  cl  Dcportamcnlo.  con  cl  datcAu  j  cl  OcMuiulhyiitudincaclOtldC 
titlemat  de  informaetbn  y  coo  la  produccidn  o  cxplotacibn. 

A  demit,  die  hot  ettindaret  y  procedimieniot  deberian  etlar  documcntadoi. 
actuali/adot  y  ter  comuntcadot  adecuadamence  a  lodot  lot  departamenun  afectadot 
La  Dirccobo  de  Informitica  debe  promoter  la  adopcibo  de  ettindaret  y 
proccdimiento*  y  dar  ejcmplo  de  to  uto. 


Por  orro  lado.  deben  cxittir  documentadas  detcnpciooet  de  lot  puetiot  de  trabajo 
dentro  dc  Informitica  dclimitando  claramente  la  autoridad  >  retpontabilidad  cn  cadi 
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caso.  Las  descnpciooes  dcbcrian  incluir  los  conocimientos  kcnicos  y/o  experience 
eeccsanos  para  cadi  puoto  dc  trabajo 


Cuia  dr  auditoria 

LI  auditor  dcbcri  evaluar  la  existence  de  csiindarcs  dc  funcionunucmo  y 
procedimicnto*  y  descnpciooes  de  pucstos  de  trahajo  adecuados  y  actualijiadov 

Loire  Us  acvioocs  a  rcalizar.  sc  pucden  citar 

•  Evaluacidn  del  proccso  poc  cl  quc  los  csiindarcs.  procedimientos  y  pucstos  dc 
trahajo  son  desarrolladois.  sprobados.  dtstnbuidos  y  actualizados. 

•  Rcvisidn  dc  k*s  csiindarcs  y  proccdimicMos  existent  c*  para  evaluar  si 
transit)!  ten  y  promuevcn  una  filosofia  adecuada  de  control.  Evaluacidn  dc  su 
adccuactdn.  grado  dc  aciualtractbn.  y  nivel  dc  cobcnura  dc  las  actisidadc* 
informilkas  y  dc  Us  rclaciones  con  los  dcpartamcnios  usuarios. 

•  Revisidn  de  las  dcscripctooes  dc  los  pucstos  de  trahajo  para  evaluar  si  rcOcjan 
las  actividadcs  reali/adas  cn  la  prietka. 

10.3.5.  Gestidn  de  recursos  humanos:  seleccion.  evaluacion 
del  desempeno,  formacion.  promocion,  finalizacion 

La  gestidn  dc  los  recursos  humanos  cs  uno  dc  los  ekmentos  crfticos  en  U  ex- 
nctura  general  informitica.  I  j  calidad  de  los  recursos  humanos  influyc  dircctamcntc 
ea  kcabdad  dc  los  sistemas  dc  informacidn  producidos.  maniemdos  y  operados  por  el 
Departamcnlo  de  Informitica.  Ademis.  parte  de  los  recursos  humanos  nccesarios  cn 
aw  instalactdn  infomuitica  son  grandcs  expertos  t6rmcos  Scleccionarlos.  manic 
•trios  y  motivarlos  adecuadamentc  poede  scr  crucial  para  la  buena  marc  ha  dc  la 
■famltica  y  su  pa  pci  en  la  emprrsa. 


Gab  dc  auditoria 

Enirc  otros  aspcctos.  cl  auditor  dcbcri  evaluar  quc: 

*  La  seleccidn  dc  personal  se  basa  cn  critchos  objetivos  y  ticnc  cn  cucnta  U 
fonnaetdn.  expcricncia  y  niseles  dc  responsabilidad  antcriorex. 

*  El  rcndimicnio  dc  cada  cmptcado  se  cvalda  rcgularmcntc  cn  base  a  csiindarcs 
esubkeidos  y  responsabilidades  espcci ficas  del  poexto  dc  trabajo. 
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•  Existen  pcocesos  para  dctcrminar  las  ncccMdades  dc  formacida  de  In 
crnplcados  cn  hase  a  ui  cxpcricncia.  pucsto  dc  trabajo.  rcsponsahibdad  j 
dcsarrollo  futuro  personal  y  tecnoldgko  dc  la  insulacwVi  Sc  plamfca  ta 
cobcnura  ordenada  dc  cslas  itcccsidadcs  y  sc  lies  a  a  la  prictica 

•  Existen  proccws  para  la  promocabn  del  personal  que  ticncn  cn  cucnla  ■ 
dcscmpcAo  profcsional. 

•  Existen  controlcx  que  iicndcn  a  ategurar  que  cl  cambio  dc  pucsto  dc  tntajoy 
la  firuli/acidn  dc  los  contraios  laboralcs  no  afcctan  a  los  com  roles  interact  y  i 
la  seguridad  informitica 

Ademiv.  cl  auditor  deberi  evaluar  que  todos  lot  aspcctos  amcnorcs  estln  cn  lira 

las  polincas  y  procedimiencot  de  la  empresa 

Entre  las  acetones  a  reali/ar.  sc  pueden  ettar. 

•  Conocinucnio  y  evaluation  dc  los  procesot  utili/ados  para  cubnr  vacania  a 
cl  Departamcnio  dc  Informitica.  bten  tea  por  promocidn  interna,  husqaeda 
direst  j  dc  personal  extemo.  utiliracido  dc  empresa*  dc  tclcccadn  de  pcnotulo 
dc  trabajo  temporal. 

•  Analisis  de  las  cifras  dc  roucidn  dc  personal,  niveles  de  absentismo  lateral  j 
csiadisticas  de  proyectos  termmados  fucra  dc  presupuesto  y  dc  plazo  Si  ks 
numcros  son  anormalct  <muy  ahos).  podrian  cotutituir  una  scAal  dc  falu  dc 
lidcrasgo  por  pone  dc  la  Direccidn  de  Informitica  y/o  de  motivaci6n  por  pane 
del  personal. 

•  Realization  dc  entreviuas  a  personal  del  Departamcnio  para  dctcrmirur  a 
conocimicnto  dc  las  respontabtlMladcs  asoctadas  a  su  poesto  dc  trabajo  y  dc 
los  cstindarcs  dc  rendimicnto.  y  analt/ar  si  los  re  suit  ados  de  sus  csaluacioon 
dc  desempeAo  han  sjdo  comunicadas  de  una  mancra  acordc  con  tot 
proccdimicntos  estabicsidos 

•  Revision  del  calendario  de  cursos.  descripctoncs  dc  los  mismos.  nictoden  y 
tdcnicas  de  cnseflanza.  para  detemunar  que  lot  cursos  son  consistences  con  lea 
conocimicntos.  expericncia.  responsabtlidadcs.  etc.  asignada*  al  personal  y 
con  la  estratcgia  tecitoldgica  marcada  para  los  sistemas  de  informactdn  dc  la 
empresa. 

•  Ret  tsidn  de  los  procedimaentos  para  la  finahracidn  dc  contraios.  Hvaluar  a 
dKhos  proccdimicntos  prevdn  que  los  identificadores  de  usuano.  passwords) 
prevfn  otros  dispositivos  nccesarios  para  tener  acceso  a  los  locales  y  uunia 
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b  informiticos  son  cjdccIkIos.  devucltos.  etc.,  coo  efcctisidad  inmediaia  tras  la 
P  finalizacidn  del  contrato  de  un  empleado. 


10.3.6.  Comunicacion 

Et  oevesario  que  cxisu  una  comunicacidn  cfcctiva  >  cfkiente  entre  la  Diroccidn 
4c  k/ormdtica  y  el  rcsto  del  personal  del  Departamento.  Entre  los  aspectos  que  es 
hpeeurue  cornu  incur  se  encoentran:  actitud  posiliva  hacia  los  controlc*.  integndad. 
Ibci.  cwnplimiento  de  la  normativa  interna  -emrc  otras.  la  de  seguridad  informdtica-. 
tonpronuso  con  la  calidad.  etc. 


Cola  de  auditor-la 

EJ  auditor  deberd  esaluar  las  caractcriMicas  de  la  comunicacidn  entre  la  Dircccidn 
J  (1  personal  de  Informdtka  Para  ello  se  podrd  servir  de  tareas  formate*  como  las 
desenus  hasta  ahora  y  de  otras,  por  ejemplo.  a  iravds  de  entreviuas  informalc*  con  el 
personal  del  Departamento 


10.3.7.  Gestibn  econ6mica 

Eoe  apart  ado  dc  las  responsabilidadcs  de  la  Dirtccidn  de  Informdtka  tiene  s  arias 
betas:  prcsupucstacidn.  adquiskkn  de  bkne*  y  scrvicio*  y  mcdtda  y  reparto  dc 


10.7.1.  Presupucstocidn 

Como  todo  departamento  de  la  empresa.  el  de  Informdtica  debe  lencr  un 
prewpucsto  econdmico.  nomulmcntc  en  base  anual.  los  enterics  sober  cudlcs  detoen 
to  l»  componcntcs  del  mismo  varian  grande  memo  Un  ejemplo  tlpico  son  los  cosies 
delis  cocnunicactonev  en  unos  cases  es  el  propio  Departamento  quien  cortc  con  ellos 
j, ea  ocros  cases,  poede  ocurrir  que  la  politica  dc  la  empresa  irtdique  que  scan  pagados 
per  los  departamenlos  usuarios.  En  otro  ejemplo,  lambidn  puede  ocurrir  que  los 
krsinales  (pant alias  e  impresoras)  scan  costeados  por  los  usuarios  en  see  de  serlo  por 
hformdtica.  Sea  cual  sea  la  politica  seguida  en  la  empresa.  cl  Departamento  de 
hforminca  debe  scguirla  para  elaborar  su  presupucsto  anual. 

No  vamos  a  entrar  aquf  en  los  di versos  mdtodo*  existentes  dc  pcesupucstacidn. 
pero  d  auditor  deberd  jurgar  si  son  apropiados.  Lo  que  si  deberia  darse  en  todo 
proceso  de  presupucstacidn  de  un  Departamento  dc  Informdtka  es  una  previa  petkidn 
de  oecesidades  a  los  departamenlos  usuarios.  Adiciorulmente.  cl  Departamento  tendrd 
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M1»  propiax  neccvidadcs:  cambio  o  ampliacidn  del  compulodor  o  de  lot  duct*, 
inxtalacidn  de  un  robot  manejador  de  canuchox.  de  una  unidad  de  comuntcacionex.  de 
que  *e  dehcrun  integral  cn  el  prevupuexlo.  lx>  mi*  Idgioo  cv  claborar  al  itmmo  ticape 
el  prcsupocMo  econdmico  >■  cl  Plan  operaiivo  anual. 


(iuli  dc  auditoria 

El  auditor  deberi  conxtaiar  la  cxixtencia  dc  un  prcxupucxto  ecotwirmco,  de  ■ 
proeexo  para  claborario  -que  incluya  conxideracioncs  de  lox  uxuariox-  y  aprobirto,  j 
que  die  ho  proeexo  c\i&  cn  Ifnca  con  lax  political  y  procedntucntox  de  la  emprexa  y  tea 
Ion  plane*  cxtratlgko  y  operaiivo  del  propio  Dcparumcnto. 


10.3.7.2.  Adqubdcidn  de  blend  y  vn  icim 

Lox  pnxcdimicntos  que  el  DepanameMo  dc  Informitica  xiga  para  adquinr  k> 
bknex  y  xcrvict os  dcvcriiox  cn  mi  plan  operaiivo  anual  y/o  que  *e  demuctuta 
ncccxanox  a  lo  largo  del  cjcrcicio  han  dc  cstar  documcnudov  y  alincadox  con  lot 
proeedinuentov  de  comprav  del  revto  de  la  emprcia.  Aqul.  la  vanedad  c%  infinita.  w* 
lo  que  cv  impovible  dar  reglav  fijas. 


Gula  de  auditoria 

Una  auditoria  de  evta  irca  no  debe  difcrenoarve  de  una  auditoria  tradicional  do 
proeexo  de  comprav  de  cualquicr  otra  area  dc  la  emprexa.  con  lo  que  el  auditoe  debed 
veguir  bivicamcnte  lav  direct riccv  y  programa*  dc  trabajo  dc  auditoria  elaboradov  p*n 
cmc  procevo. 


103.73.  Mrdidu  y  re  par  to  dc  eoxtex 

l-v  DinniOn  da  Informitica  JcKe  an  todo  mo  memo  gntionu  lo»  com 
amciadox  con  la  utilieacidn  dc  lox  recurvox  mfocmiticox  humanox  y  tccnoldgkoi  Y 
dlo.  obviamente.  cxigc  mcdirlov. 

Un  axpccto  muy  rclacionado  ex  cl  repurto  dc  lox  coxtcx  del  Departamento  not 
lox  uxuariox  Exu  medida  no  cM4  implantada  cn  lodav  lax  emprevav  y.  ademix.  me 
xuv  veniajas  c  inconvcnicntcv  que.  tambkn.  xc  cncucntxan  fucra  del  alcancc  de  t* 
libro.  Normalmcnte.  la  exivtencia  o  auxcncia  dc  un  vivtcma  dc  evte  tipo  suck  cat 
muy  axoeiada  a  la  propta  cultura  de  la  empeexa.  En  cualquicr  cam,  ex  ckrto  quc.lt 
extar  prexcntc.  xc  da  cn  general,  con  mayor  frccucncu.  cn  grandev  organizations  cm 
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pad es  centra*  dc  proccso  de  datos  centraluadot.  Es  raro  encontrar  un  sisicma  dc 
I  eputo  de  castes  en  centres  infot miticos  de  departamento*. 

Goadrauditorfa 

El  reparto  dc  cosies  suelc  scr  un  lema  dclicado.  En  rcalulad.  cl  asunto  espinoso 
BT<  s er  el  llamado  prccio  dc  transferencia.  <>  sea  el  coMc  mcerno  que  el  Departamento 
k  Informitica  repcrcule  a  los  departamento*  usuarto*  por  lo*  servictos  quc  let  prcsta. 

El  auditor  dcbcri  evaluar  la  consYtucncia  de  quc  exista  o  no  un  si  sterna  de  rcpaito 
de  cones  inlormiticos  y  dc  quc  due  sea  justo.  incluy a  Ion  conceptos  adccuados  y  de 
qoe  d  prccio  de  transferencia  aplicado  estf  en  linea  o  por  dcbujo  del  dispomblc  en  cl 
aercaio 


Eatrc  las  acetones  a  lie  vat  a  cabo.  se  pueden  mcnctonar. 

•  Reali/actdn  de  entrcvisus  a  la  dircccidn  dc  lot  de  [Sail  ament  os  usuarios  para 
esaluar  su  grado  de  comprciutdn  de  kts  componcntcs  de  caste  utili/ados  en  la 
formula  de  cikulo  del  prccio  de  transfcrcncia 

•  Anilisi*  de  lot  componcntcs  y  criterion  con  los  quc  cst4  cakulado  cl  precio  de 
transferencia  para  esaluar  su  ccuaninudad  y  consiucncia.  y  acudir  al  mere  ado 
extemo  y  a  ofertas  de  centros  de  proceso  de  datos  independientes  para 
compar arias  coo  dichos  cosies  intemov 

•  Cooociinicnto  dc  los  di  versos  sistemas  esistentes  en  cl  Depart  an  vento  para 
recover  y  registrar  la  actividad  del  mismo  (con sumo  de  rccurtos  de  miquina. 
ndmero  de  tineas  imprests,  boras  de  programacidn.  dc  helfbdetk.  etc  ),  para 
procesarla  y  obtener  la  informaetdn  dc  costcs  y  para  prescntarla  de  una  manera 
apropiada. 


10.3.8.  Seguros 

La  Direcctdo  dc  Informitica  debc  lomar  las  medtdas  nccesarias  con  el  fin  de  tener 
tufuxttc  cobcrtura  dc  seguros  para  los  sistemas  informiticos.  Aqul  se  incluycn  no 
Mo  las  cobeituras  mis  Iradtcionalcs  como  la  dc  los  equipos  (cl  hardware)  o  la  de 
■Adelidad  de  los  empkados.  si  no  lambidn  otto  tipo  dc  coberturas  normalmente  mis 
nccudas  a  la  repentma  tMcmipcidn  del  scrsicio  informatics*  por  causa  de  algtin 
desattre  Ksus  coberturas  amparan  riesgos  tales  como  la  posiblc  pdrdtda  de  ncgocio 
denvada  de  dicha  intcmipcidn.  los  costcs  asociados  al  hecho  de  tener  quc  ofrecer 
•enioo  informitKo  desde  un  lugar  altemativo  por  no  cstar  dispomblc  el  silio  primano 


www.FreeLibros.me  ^ 

a*  AtpnoauiNKumATKA  UNnaomnwAmfo _ m» 


lot  costcs  asociados  a  U  regcneracibn  dc  datot  por  pCrdida  o  inutili/acidn  de  lot  data 
originates.  etc. 


Goto  de  auditorial 

FJ  auditor  dcbcra  cvtudiur  Us  pdli/as  de  sejturos  y  cvaluir  la  cobettura  existent, 
analizando  si  la  empresa  e.sti  suliocntemente  cubierta  o  cxisten  huccox  on  del* 
cobetiuta.  Por  cjcmplo.  alguna*  pdli/as  vilo  cubrcn  el  reenifdazo  del  cquipo.  pcro  ao 
lot  ouos  costcs  incncionadot.  etc. 


10.4.  CONTROLAR 

la  l  area  de  dirigir  no  poede  consider  arse  cornpleta  sin  etia  facet  a  quo  form*  pay 
indttoluble  de  lal  responsabilidad. 


10.4.1.  Control  y  seguimiento 

Un  axpccto  cortuin  a  lodo  lo  que  K  ha  tlkho  hasta  cl  monento  cs  la  oMigacifa  dt 
la  Dircccidn  dc  controlar  y  efcctuar  un  seguimiento  permanent:  de  la  distmta  actnuhd 
del  Dcpartamcnto.  Sc  ha  de  vigilar  el  desarrotlo  de  lot  planes  cstratdgico  y  opcritro 
y  de  lot  proves  tot  que  lot  dctarrollan.  la  cjccuctdn  del  pretupuesto.  la  evoluetta  dt  li 
cart  era  de  pcticionet  dc  utuario  pendientcs.  la  evolucidn  de  lot  costcs,  lot  plants  de 
formaodfl.  la  evolucidn  de  la  carga  del  computador  y  de  lot  ovot  rccursos  (etpacio  o 
disco,  comumcaciooes.  capactdad  de  lat  impeesorat).  etc. 

En  etta  Ubor.  cs  muy  conveniente  que  exixtan  cstindarc  dc  rendinucnio  coo  lot 
que  comparar  las  diversas  tarcat  Son  aplicables  a  lat  diverus  facctas  de  U  actividri 
del  Dcpartamcnto:  consumo  de  rccursos  del  equipo.  dcsarrollo  opcracionct.  etc. 


(lull  dc  uuditoria 


Entrc  las  accionet  a  realirar.  «e  poeden  mencionar 

•  Conocimiento  y  andlistt  de  lot  proccsos  cxistcntes  ci  el  Dcpartamcnto  pm 
llcvar  a  cabo  cl  seguimiento  y  control.  F.valuacidn  de  la  pcriodkidad  de  lot 
mitmos.  Anali/ar  igualmente  lot  proccsos  dc  repretupucsUcidn. 
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Rev  moo  de  planev  proyectos.  pccsupocstos  de  ados  amcnores  y  del  actual 
pura  comprobar  que  son  cstudiados.  que  sc  anali/an  las  dess  laciones  y  que  sc 
toman  las  rnoJuUs  correctora.%  necesanas. 


10.4.2.  Cumplimiento  de  la  normatlva  legal 

La  Dircccidn  de  Informitica  delve  cootroiar  que  la  reali/acidn  de  sus  actividades 
m  lleva  a  cabo  dentro  del  respcto  a  la  normativa  legal  aplicaNe  En  particular.  sc 
conuderan  fundamentales  los  relatives  a  la  seguridad  e  higicne  cn  el  trabajo, 
(crmatis  a  laboral  y  smdical.  proteccidn  de  dales  pcrsonales.  propiedad  intelectual  del 
■Aware,  requisitns  definidos  en  la  cobertura  de  seguros.  contrato*  de  comercio 
dectrdnico,  transmisidn  de  dates  por  Ifneas  de  comunicaeiones.  asi  como  normativa 
eaiiidJ  por  drganos  re  gu  I  adores  sectoriak*. 

Asimismo.  debrn  cvislir  proccdimicntas  para  vigilar  y  determinar  permanen- 
lenente  la  legislacidn  apticabk 


(Made  auditoria 

til  auditor  deberi  evaluar  si  la  mencionada  normativa  aplicaNe  se  cuntple 

Para  ello.  deberi.  en  primer  lugar.  entrevistarse  con  la  Asesorfa  Juridica  de  la 
caprcu.  la  Dircccidn  de  Recurves  Humanos  y  la  Dircccidn  de  Informitica  con  d  fin 
de  coaocer  dicha  normativa 

A  contmuacidn.  evaluar  A  el  cumplimiento  de  las  nor  mas.  en  particular  en  los 
Mfectos  mis  crfticos  mencionados  inis  am  ha  Si  el  auditor  no  es  un  idemeo  en  los 
dntMtos  aspcctos  legates,  deberi  bust  or  ascsoramiento  adecuado  intemo  a  la  empresa 
toms 


10.5.  RESUMEN 

La  auditoria  de  la  Dircccidn  de  Informitica  es  una  tarca  diffcil.  Sin  embargo,  la 
ceotnbucidn  que  dicha  Dircccidn  de  Informitica  reali/a  (o  debe  reali/ar)  al  ambiente 
de  control  de  las  operac tones  informiticas  de  una  empresa  es  esencul.  Dcsde  un 
porno  de  vista  de  auditoria.  la  calidad  del  marco  de  coot  roles  impulsado  e  tnspirado 
per  la  Dircccidn  de  Informitica  tienc  una  gran  mfiucncia  sobre  el  probable 
cooporumienio  de  los  sistemas  de  informacidn.  Por  parte  del  auditor,  son  mis 
aectsariat  las  capacidades.  de  evaluar  la  gerridn  que  las  capactdades  tCcntcas  imiy 
pmfundas 


10.6.  LECTURAS  RECOMENDADAS 


EOP  Auditing.  Conceptual  Foundations  and  Practice.  Ron  Weber.  McGraw-Ml 


Control  Objectors  for  Information  and  Related  Technology.  Information  Sysem 
and  Control  Foundation.  1996. 

Control  Objectixrs.  F.DP  Auditor*  Association.  1992. 

Systems  Auditability  and  Control.  The  Institute  of  Internal  Auditor*  Reseed 
Foundation.  1991. 


10.7.  CUESTIONES  DE  REPASO 

1 .  Detcrfbartie  la*  actividadcs  a  reali/ar  poc  un  auditor  para  evaluar  ua  plat 
cstratcgico  dc  sistema*  de  information 

2.  Dcscribanse  las  tunc  tones  dc  un  comity  de  mformdtica.  Hlabdrtse  uea  lim 
con  las  funciones  empresanale*  que  deberfan  estar  represcnladas  cn  dxto 
cotnitd  iQoi  objetivo  tiene  para  los  usuarios  su  prcsencia  on  cl  comitf? 

3.  Dcscribanse  las  ventajas  dc  tencr  peocedimientos.  Llab6rcsc  un  guido  de  lo 
que  podrfan  set  peocedimientos  de:  a)  diseflo  dc  sistemas  b)  progranucidn 

4.  ,.Qud  evidencias  deberi  buscar  el  auditor  para  podcr  evaluar  si  lu 
necesidades  de  los  usuarios  son  tenidas  cn  cucnta  adccuadamcnte? 

$.  Identiffquense  las  aciividades  incompatiblcs  desde  un  punlo  dc  vista  de 
control  en  un  deparumento  dc  informitica.  Rardocte. 

6.  iQot  ventajas  de  control  aporta  la  existencia  de  la  funcidn  de  aseguramieou 
de  U  c alidad  ’ 

7.  Dcscribanse  los  objetivo*  de  control  a  set  evaluates  pot  el  auditor  en  d 
apartado  de  gestidn  de  recursos  bumanos. 

8.  iQui  tareas  dehe  reali/ar  un  auditor  para  evaluar  d  plan  dc  fotmacKSo  dd 
deparumento  dc  informitka?  ,.C6mo  puede  jurgar  si  die  ho  plan  es  accede 
coo  las  objetivos  de  la  empresa? 
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Rclacioncnrc  Us  activsdadc*  a  reali/ar  por  un  auditor  para  La  evaJuacidn  del 
procio  de  traitsfercncia  dc  reparto  de  coster  enlrc  el  departamento  dc 
infocmilica  y  lor  usuanos 

iCuiles  son  Ur  areas  legates  cuyo  cumplimiento  cs  cl  mis  importance  de 
auditar? 
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CAPfTULOII 


AUDITORIA  1)K  LA  EXPI,OTACl6N 

Eoy  Pena  Kamoi 


ii.i.intboducci6n 

FJ  nivd  de  compclcncia  que  cxixtc.  hoy  cn  dia.  enlie  las  cmprcxax  lex  obliga  a 
lonw  dcdxionex  ripidax  y  accrtadax.  Ex  necexano.  para  cllo.  el  funciotumicnio 
adeeuado  de  lox  xixtemax  informilKos  (mediantc  la  incorporacKta  dc  lax  fluoai 
kaiolotiai)  y  xu  conlmua  actualitaodo.  Dc  eui  forma,  ex  decir.  ombmando  exax 
KcBologfax  coo  una  adecuada  orgam/aoon  y  una  gcxlidn  cftoetH:.  Ux  cmprcxax 
podrin  alcanrar  xu*  objetivox  de  mantra  satisfactory 

La  audiuxfa  informaitca  penAdica  ex  uno  dc  lox  inunimentox  nix  cficaccx  con 
qoc  cucntan  lax  emprexax  para  asegurar  xu  cxistcncia  y  xuperar  a  xux  compel  idorcx.  La 
dctccofa  opoctuna  dc  lax  dcNIidadcx  del  uuenu  pcrmilc  mcjorarlo  rxionah/ando  lox 

RCWXOX 

Ln  cxic  art  feu  lo  xc  prciendc  c labor ar  el  exquema  dc  un  pcoccdimicnto  iFigura 
II. I)  para  llcvar  a  cabo  lax  auditorfax  dc  la  cxploiacidn  dc  bx  xixtemax  dc 
■formacidn'  xiguicndo  la  claxificacidn  dc  lot  controlex  que  hate  cl  Prayccto  Cc*b«T 


Figura  //./.  ProCtdMtnto  de  auditor* 


11.2.  SISTEMAS  DE  INFORMAClfiN 

Bn  un  scniKki  amplio  -t  pocdc  consider.*  un  Sistema  do  liformacidn  (SI)  como 
un  conjunto  de  components  quo  inter jctiUn  |WJ  quo  U  empreva  pueda  alcan/ar  m» 
objetivs  sausfactortamentc  (vdanc  figura  11.2).  Scgdn  el  Proyccto  CoNT  lot 
components  o  nemos  dc  un  SI  von  lot  siguknts: 

•  Ikunt.  En  general  se  oontidcrarin  dais  tanto  lot  cstructurads  como  Is  no 
eslnicturadot.  las  imigenes.  Is  torn  dot.  etc. 

•  Apticacianet.  Se  incluycn  Us  aplicactones  manuals  y  Its  informativas. 

•  Tevnotogia.  FJ  software  y  cl  hardware;  lo*  sistemat  oferativs;  Is  sistcmas 
»le  gestidn  de  bases  de  dais;  Is  sistcmas  de  red.  etc. 

•  Instalodones.  En  cllas  se  u bican  y  se  inantienen  Is  tiuimas  de  informacidn. 
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Personal.  Los  conocimicntos  espccflkos  que  lu  de  icnct  cl  personal  de  k* 
sivtcmas  dc  informacidn  para  planificarlos.  orgam/arlos.  adminisirarlos  y 
goiknartos. 


Figura  11.2.  Sistema  de  Information 

Emus  reeursot  dc  lot  sivtcmas  dc  informacidn  tc  han  dc  utiliur.  -informc  COSO 
(Committee  of  Sponsoring  Organi rations  of  the  Treadway  Commission.  Internal 
Control  -Integrated  Framework.  1992)-,  dc  forma  que  pcrmitan  la  cficacia  y  la 
rfickncia  dc  la  empresa:  que  lot  datos  financicro*  elaborados  por  su  sittema  de 
informacidn:  mucstrcn  una  imagen  fiel  de  la  misma  y  qoc  la  empresa  cumpla  la 
kjrtlacidn  vigente.  Por  otra  pane  el  si  sterna  debe  asegurar  la  confidencialidad  dc  tut 
ditoi,  atpccto  cstc  ultimo  conicmplado  en  la  legislacidn  vigente 

Para  hacer  cl  scguinucnto  y  comprobar  que  el  sistema  de  informackta  cstS 
aetuando  como  cs  precept  iso.  £stc  habra  de  disponcr  dc  un  control  intemo  que 
prevenga  los  csentos  no  deseados  o  en  su  dcfccto  km  detec  te  y  km  comja. 

F„s  conscnientc  recordar  que  el  rcsultado  dc  la  auditoria  parcial  de  un  siaema  de 
•fcrmaekfci  no  se  puedc  estrapolar  al  conjunto  del  sistema.  bl  funcionamiento 
iudecuado  de  alguno  to  algunos)  de  lot  procetot  y  rccursos  que  intersiencn  cn  otrat 
panes  del  Sistema  (subsastemas)  puede  invalidar  el  sistema  de  informacidn. 

En  el  esquema  que  sc  irk  dcsarrollando  como  procedimiento  para  auditar  la 
eiplcocitio  del  tistema.  sc  adoptaiin  las  normas  dc  ISACA.  asi  como  otras  Normas 


W  AUKIMtU  IKIMM*TIC»  W  tMOqUIt  WACIKO _ tu» 

tie  Auditoria  dc  Sistemax  dc  Informacidn  Gcncralmcntc  Aceptadas  y  ApIx-aNet 
(NASIGAA)'. 


11.3.  CARTA  DE  ENCARGO 

Las  rexponsabrlidaties  del  trabayo  dc  audilorfa  deben  quedar  recogidax  en  ue 
contrato  o  Carla  dc  crtcargo  aniet  de  comen/ar  tu  rcalizaci'in  (la  Norma  General 
mimero  1 2  dc  ISACA  "Draft  Standard  #  1 2“  sc  refiere  a  ette  aspccto  mMo  en  cl  caxo  de 
la  auditort  a  interna;  pero  tambiCn  «  de  aplicacidn  a  la  auditor  a  externa,  como  quedi 
de  manifieMo  en  otrox  tipox  de  auditorial).  En  etc  document*'  dehe  quedar  reflejjdo 
de  la  forma  mix  clara  povible.  entre  orrox  aspect  os.  cu.'il  sera  cl  akance  del  trahajo  del 
auditor. 


11.4.  PLANIFICAClON 

Segun  la  Norma  General  mimero  6  de  ISACA  lax  auditoriax  de  tox  xistemas 
informacidn  deben  planificarxc  y  supemsarse  para  tener  la  segundad  de  que 
objeiivox  de  las  mixmas  se  alcan/an  >  ve  cumplen  las  NASIGAA. 

En  la  planificacidn  de  la  auditoria  vamox  a  conxiderar  ires  faxes: 

3.1.  Planificacidn  extratdgica. 

3.2.  Planificacidn  administrativa. 

3.3.  Planificacidn  tecnica 


11.4.1.  Planificaci6n  estrategica 

Ex  una  revision  global  que  permite  conocer  la  emprexa.  cl  SI  y  xu  control  interoo 
con  la  intcncidn  de  hacer  una  pnmera  evaluation  de  rieigox.  )egun  lox  rexultadox  de 
cxj  evaluation  sc  extablcccrln  lox  objetivox  dc  la  auditorfa  y  ic  podrd  dctermnsir  $o 
alcance  y  lax  pruebax  que  bay  an  dc  aplicarxe,  axf  como  el  rromento  de  rcali/arlas. 
Para  llevar  a  cabo  exta  urea  ex  ncccxano  conocer  entre  otrox  aspccto*  lox  siguientex 

•  I  ax  coracterfsticas  de  lox  equipox  mformiticox. 

•  El  xixtema  o  lox  sixtemas  operativox. 

•  Caracterfsticax  dc  lox  archivox  o  dc  las  bases  dc  daiox. 

•  l.a  organi/acidn  de  la  emprexa. 

•  La  organizacidn  del  scrvicio  dc  cxplotacidn. 

fj  etrmao  Noerrox  dc  Awlrtcel*  de  Sixteen**  de  Ior<«ni*cie*  Gcneratmenic  AcepaJax  r 
AplKaNcx  lieae  ei  innmu  tenlido  q«e  PniK  ipim  de  Contain  talk!  General  merle  Aceptadox  (PCGA)cn  U 
avducela  ftrunciera 
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•  La*  apltcaciooc*  que  cl  SI  de  la  empress  Caud  Mario")’  que  *e  cxic  audiundo  o 
quc  sc  vaya  a  audiiar  c't^n  cn  explotacidn. 

•  El  lector  doode  opera  la  empresa 

•  Informacidncomcrctal. 


La  mformacidn  puede  obtenerse: 

a)  Medunte  entrevistas  y  confirmaciooes: 

•  Con  lo*  responsible*  ilc  explotacidn. 

•  Con  los  responsible*  del  plan  de  conlingencia*. 

•  Con  lox  uiuario*. 

•  Con  los  provecdorci  de  software  y  hardware. 

b)  Inspcccionando  la  siguiente  documcntacidn: 

•  Informer  y  papele*  de  trabajo  de  auditorial  antcriorc* 

•  Las  normal  y  procedi micnioi  de  la  empresa  relacionados  con  la 
explotacidn  del  sittema  de  informacidn. 

•  Los  planes  de  contingencias. 

•  Agenda  de  trabajo. 

•  Instruccrooes  sobre  el  encendido  y  apagado  de  los  cquipos. 

•  Cooiratos  de  mantemmiemo  con  otras  empresav. 

•  Procedi  mientos  de  emergcncia- 

•  Instrucciooes  sobre  seguridad  ffaka  y  Idgica 

•  Insuuccioncx  sobre  la  separacidn  de  lai  bibliotccas  de  desanollo  y 
producctdn. 

•  Una  muextra  repreientaliva  de  lax  mxtrucciones  operativai  de  las 
aplicacionex  mis  importantes  dondc  se  tncluyan:  fee  ha.  entradas.  liempo  de 
proccso.  mensajes  de  crrorcs.  instrucciooes  para  (inah/ar  ureas  endneax  y 
diariox  de  operaciones. 


IM.I.I.  (  lasiflcatidn  de  los  eontroles 

Ea  la  audilorfa  mtormltica  se  ha  dislinguido.  tradkionalmentc.  entre  conuoles 
(eaeraiei  y  eontroles  de  las  aplicacionex. 


1  "AixSlUno"  AI  oo  conoccf  mgdn  Mreano  com  <1  que  rtlmn*  al  sujeto  de  U  wdil.su  en 
kb|»  sertul.  <*  dec*,  la  |srv«i  ffuca  o  jjr*lk»  (djente)  cu)»  u'lcrru  de  h» 

mk  tulrtadf.  M  exti  jud.Un.1..  »in  lodilirw.  «l  auks  fsuptoe.  saho  parrssr.  ft  Itfiwo 
'JaAurNJ*  lomo  xtxcepnble  de  set  uulindo  eo  cual^uera  de  estas  uewKwnes 
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La  Narnia  idcntca  numcro  3  de  AIC'PA  (American  Inst. lute  Of  Charter  Pubikc 
Accountant'll.  Ffectos  del  proceso  elecirdnico  de  datos  en  el  tsiudio  v  e\-aluacidn  M 
control  interna,  publicada  cn  1974.  distingue  emre  com  roles  genera  lex  y  controles  4e 
las  aplicacioncs. 

la  AIC'PA  publied  en  1984  la  Nonna  ndmera  48  (SAS  •  Stamen!  on  Audttatf 
Standard)  Ijos  efeaos  del  proceso  informdtico  en  el  andlisis  de  los  Fssadca 
Fmancieros.  En  ella  se  de  linen  los  controles  generate*  ettno  aqucllos  que  estii 
relocionados  con  lodas  o  con  la  nuyoria  de  Us  aclividades  cxniabtc*  informatiuda 
que  generalmenie  inclnyen  ctmtrolcs  del  dcxarrotlo  de  Us  modiflcaciones  y  dd 
mamenimiento  de  programas  mfonniticos  y  controles  de  la  utdiracidn  y  modificacifr 
de  los  datos  que  se  manticnen  cn  orchivos  informdticos. 

En  una  lineu  parecida  se  expresa  cl  documento  ndmero  I  sobre  FI  estudb  y 
esxtluacidn  del  control  intemo  en  entomos  informal!  zadot,  public  ado  per  el  REA 
(Rcgistro  dc  Economists  Auditores)  en  cncro  de  1996.  stendo  de  interd*  para  d 
auditor  infomUtico  tener  en  cuenta  estc  documenlo  y  sobre  toda  sus  anexos. 

El  documento  publicado  por  el  REA  dice:  "los  Controles  Generates  son  uni  pant 
del  entoeno  general  dc  control  y  son  aqucllos  que  afectan.  cn  un  centra  de  proceso 
electron ico  de  datos.  a  loda  la  informackki  por  igual  y  a  la  condnuidad  de  este  seriKie 
en  la  cntidad  La  dcbilidad  o  ausencia  de  estos  conirolcs  picdcn  tener  un  impnao 
significative  en  la  integridad  y  exaclitud  de  los  datos.  Tambidn  sc  constdem 
controles  generates  aqucllos  rclacionados  con  la  proteccion  dc  los  activos.  U 
informaci6n  resultante.  los  elementos  ffsicos  del  hardware  y  cl  software  (programas  j 
sistemas  operativos). 

Los  Controles  dc  las  Aplicacioncs  son  aqucllos  rclacionados  con  la  captun. 
entrada  y  rcgistro  de  datos  en  un  sistema  infonnitica.  asf  comolos  rclacionados  con  su 
proccsanuento.  cilculo  y  salida  de  la  informaci6n  y  su  distributidn". 


a)  Controles  general  r> 

Los  controles  generates  sc  pueden  clasificar  en  Us  siguientes  catcgorias: 

I .  Controles  Operativos  y  de  Organi/aci6n: 

•  Segregacidn  dc  Eunciooes  entre  cl  Scrvicio  dc  Informacidn  y  los  usuarios. 

•  Existence  dc  Autonracidn  general  cn  lo  que  respecta  a  la  ejecucidn  y  a  In 
transaccioncs  del  Deparumento  (por  cjcmplo.  prohibit  ai  Scrvicio  de 
Information  que  intcie  o  autoncc  transaccioncs) 

•  Scgrcgacidn  dc  funciones  cn  cl  seno  del  Scrvicio  de  Inlxmaci6n. 
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2.  Controlc*  sohrc  cl  devarrollo  de  program**  y  su  documentacidn: 

•  Rcalitacidn  dc  rcvisioocs.  prueba*  y  aprohacion  dc  lo*  Bocvot  sistctna* 

•  Controls'  dc  U\  modificacionc*  dc  k>»  program** 

•  Proccdinucntos  dc  documcnucidn. 

.V  Conirolcs  xobrc  los  Program**  y  lo*  tupiipov 

•  Caracteristica*  para  dctcctar.  dc  mancra  automatic*,  errors'. 

•  Haccr  mantenimiento*  preventives  pchddicos. 

•  Proccdinucntos  para  salir  dc  los  enure*  dc  lo*  cquipo*  (hardware). 

•  Control  y  autoruacidn  adccuada  cn  U  lmplcmcntactdn  dc  cistern**  y  cn  la* 
modificacionc*  de  los  tnismos. 

4.  Controls*  dc  acoeso: 

•  Sirven  para  dctcctar  y/o  prevemr  error cs  accidentals*  o  dclibcrados. 
causados  por  cl  uso  o  la  manipulacidn  inadccuada  dc  lo*  archivo*  de  datos 
y  por  cl  uso  incorrecto  o  no  auton/ado  de  lo*  program**. 

5.  Controlcs  sobre  lo*  pcocedimiemo*  y  lo*  data*. 

•  Manuals*  escrito*  como  soportc  de  lo*  proccdinucntos  y  In  sistemas  de 
aplicactdo. 

•  Controls*  dc  la*  coociliaciooc*  entre  k»  dato*  fuente  y  lo*  datos 
informitico*. 

•  Capacidad  para  rcstaurar  archivo*  perdido*.  dctchorados  o  imorrccto*. 


W  Coni  role*  dc  la*  a  plicae  lone* 

Los  controls*  dc  la*  aplicacionc*  e*tin  rclacionado*  con  la*  propiat  aplicacionc* 
afornuti/ada*.  lo*  controls*  h&*ico*  dc  la*  aplicacionc*  son  tre*  capltra.  proccso  > 

nhda 


I.  Controlc*  sobre  la  captura  dc  datos: 

•  Alta*  dc  movimiento*. 

•  Modificacionc*  de  movimiento*. 

•  Consult**  de  movimiento*. 

•  Mantenimiento  dc  los  archivo*. 
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2.  Controlc*  dc  proceso.  Normalmente  sc  mcluyen  <n  I  os  programs.  St 
dtscAan  para  dctecur  o  prcscmr  k»  siguicntcs  tipos  dc  snores: 

•  Entrada  dc  slates  rcpcudov 

•  Proccsaimcnto  y  aclualizacidn  dc  archivo  o  archivos  equivocados 

•  Entrada  dc  dttos  ildgicot. 

•  Perdida  o  distortion  dc  dates  durante  cl  proceso. 

3.  Controlcs  dc  salida  y  dsuntmetdn  Los  Controlcs  dc  salida  sc  ditcAan  pM 
asegurarse  dc  quo  cl  rcsultado  del  proceso  cs  exactc  >  que  los  informes  j 
demas  sal idas  los  rceiben  sdlo  las  personas  que  estfn  aaton/adas. 

En  cl  Ployecto  CobiT  sc  establece  una  nueva  clasifkacitfn.  dondc  sc  afirma  qtt 
cxistcn  ires  nixclcx  en  Las  Tccnologiat  dc  la  Informacido  a  L  bora  dc  consider*  U 
gesritta  dc  sus  revunos:  actis  tdadcs  y/o  tarcas.  proeexos  y  dommtos. 


Acthidadrs  y  uutas 

Las  actnidades  y  las  tareas  son  neccsarias  para  akanzar  un  rcsultado 
cuantificablc.  Las  acinidadrs  suponen  un  conccplo  ciclico.  nientra*  que  las  furnu 
implkan  un  conccplo  algo  mis  discrclo. 


Proersos 

Las  proersos  sc  defmen  como  una  sene  dc  actividadrs  o  tarcas  unidas  per 
mtcmipciooe*  naiuralcs 


Dombdos 

Los  procesos  sc  agrupan  dc  forma  natural  dando  lugar  a  los  domMot,  que  sc 
cwifiimin,  cwvMlmmU1  mow*  dnmliunt  dc  responsahilidad  en  las  cstructuras 
orgam/ativas  dc  las  empresas  y  esian  en  linca  con  cl  cklo  dc  geslidn  aplicahk  a  los 
procesos  dc  las  Tccooiogias  dc  la  Informacido. 

La  Gufa  dc  Auditorla  del  Proyecto  CobiT  recogc  32  procesos  dc  los  Stsicmas  dc 
lnformaci6n  dondc  sc  sugicrcn  los  objetivos  dc  control.  Esos  procesos  estin 
agnipados  en  cuatro  domimos. 


Domimot  y  proersos  dc  las  tccooiogias  dc  la  informacidn 
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I.  PlanificaciOn  y  organization 

I .  I .  Definir  el  plan  eslrat/gico  df  las  Tecnologiat  de  Information  (TTU 

1.2.  Definir  la  arquilectura  de  la  information. 

I.}.  Deiemunar  la  direction  lecnotOgica. 

1.4.  Definlr  la  organization  y  las  relackmes. 

1.5.  GestiOn  de  las  inversionet. 

1.6.  Comunicar  las  lendencias  a  la  direction. 

1.7.  GeutOn  de  recurios  humanoi 

1.8  Ategurarse  del  cumplimtenlo  de  lot  requisites  external. 

1.9.  Evaluation  del  riesgo. 

1.10  GestiOn  de  proyectas. 

/.//.  GestiOn  de  la  calidad. 


2.  AdquitkiOn  e  implementation 

2. 1.  Identificar  las  toluciones  automatizados. 

2.2.  Adquirir  y  mantener  el  software. 

2.3.  Adquirir  y  mantener  la  arquitectura  lecnotOgica. 

2.4.  DesarmUar  y  mantener  procedimientos. 

2.5.  Instalar  y  acrrdilar  lot  sislemas. 

2.6.  GestiOn  de  los  cambiot. 


3.  Suministro  y  nutnlrnimienlo 

3. 1.  Definir  el  nisei  de  sersitios. 

3.2.  Gestionar  los  sersicios  de  las  terceras  partes. 

3. 3.  Gestionar  la  capacidad  y  el  functonamiento. 

3.4.  Ategurarse  del  servitio  continuo. 

3.5.  Ategurarse  de  la  teguridad  de  los  sislemas. 

3.6.  Identificar  y  localizar  los  cosies. 

3. 7.  Formation  teOrica  y  pnktica  de  lot  usuariot. 

3.8.  Asistir  y  asesorar  a  lot  dtentes. 

3.9.  Manefo  de  la  configuration. 

3. 10.  GettiOn  de  los  probiemat  y  de  lot  incidentes. 

3.11.  GettiOn  de  los  datot. 

3. 12.  GettiOn  de  las  insialationes. 

3.13.  GestiOn  de  la  exportation. 


4.  MonitorizaeiOn 

4.1.  Moniiorizar  el  proceso. 

4.2.  Independentia. 
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1 1.4. 1.2.  Kvuluarion  dc  Ins  (oniroln  intrrnos 

Es  funciOn  del  auditor  csaluar  el  nisei  dc  control  inlerno:  tambicn  cv  dc  u 
responvafalidad  ju/gar  si  los  proccdimicntos  csubkcidov  son  los  adcctiadm  pm 
salv  agiurdar  el  siMcma  de  inlormaciiSn 

I -a  naturale/a  y  la  extension  de  los  controles  quc  rcquicrcn  los  sistcmu  dc 
proceso  de  datos  variarin  de  acuerdo  con  la  cla.se  dc  xistemas  cn  uu>. 

EJ  infonnc  COSO  define  cl  CONTROL  como  "las  normas.  lo*  procedimkttoi. 
las  prfcticat  y  las  extructuras  organizalivas  discAadas  para  proporcionar  scgundid 
raronaNe  de  quc  los  objciisox  dc  las  cmprcsas  sc  alcan/arln  y  quc  los  cvenlcw  no 
dcscados  sc  prevcrtn,  sc  dctcctardn  y  sc  corrcgirin". 

Para  cvaluar  los  controles  cs  neccsano  buscar  cvidcncia  sobre: 

•  La  tcrminacidn  completa  dc  lodos  los  proeesot. 

•  la  scparacidn  flsica  y  Idgica  dc  los  programas  fuentcs  y  objcto*  v  de  la 
bibliotccas  dc  desanrollo.  dc  pniebas  y  de  prodoccidn. 

•  la  cxistcncia  dc  normas  y  proccdimicntos  para  pasar  los  programas  dc  um 
bibliotcca  a  otra. 

•  Las  cstadfstJcas  dc  funcionamicnto.  donde  al  menos  sc  incluya: 

-  Capacidad  y  utilizacidn  del  cquipo  central  y  de  los  pchftricos. 

-  Utili/ackSo  de  la  memoria. 

-  Utili/acidn  dc  las  telccomunicaciones. 

•  Las  normas  del  nisei  de  scrvicios  dc  los  provecdores. 

•  Los  cvlindarcs  de  funcionamiento  iniemo 

•  HI  manccnimicnio  y  revision  dc  los  dianos  de  explotacidn  (Operatumt  l /inn 

•  La  leali/acidn  del  manienimiento  pcnOdico  de  todos  los  cquipos. 

•  La  cs  idcncia  dc  la  rotaciOo  de  los  turnos  dc  los  opcradorcs  y  de  las  vacacioow 
tomadas. 

Una  forma  dc  cncontrar  cvidcncia.  como  sc  comcniaba  cn  d  punto  1 1 .4. 1 .  la  es 
nvslcmle  rain*  vistas'.  pars  llcvarlns  a  oha  p.*«Vn  elnhorar  cuestionariot  <\tr 
cuadro  IIDo  listas  de  comprobactOn  < check  lint )  con  cl  otyctiso  dc  no  olvidir 
dculles  importante*4.  lis  conscnicntc  quc  los  oicstionahos  y  las  listas  dt 
comprobaciOn  sc  claboren  de  tal  manera  quc  dc  las  respoestas  negativas  sc  infieta 
debilidad.  posibilidad  de  riesgo. 


4  En  la  hihliofniAa  <jw  tt  recommala 
cuntiMMrKH  de  control  launu 


•was  dr  convnesacHta  j 
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Referencia:  3.13/CCI/1 

for  Fcdu 

rrrpndo  f  1  I  j 

Oral*  NombrrdrUerapreu  KenuOo  |  |  1  | 

l«K*  At  audilorfa  31/12*92 

Dmialo  Sumimttro  y  (MWOurmcnlo 

tnxno  Cnlite  dc  U  exptolarrto 

TKuW  :  Omtioaario  <fc  Control  Intcnw 


Cuadro  II. I  (Continual 


Referencia:  3.13/CCI/2 


Cuadro  II.  I  (continuacuin) 
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Referenda:  313/CCI/3 

Po»  Fcctu 
fYrpondo  I  I  I  I 

(tali  :  Nombre  de  la  etnpreu  RevitadO  | 

l«h.  drtudiU.ru  < l/l 2/951 
Domlnto  SummiUro  >  nuoinunMiKo 

Piacrto  (k-vliAn  dc  U  exp*olac>6n 

Tttato  :  Cueitiooario  de  Control  I  memo 


21  Jtrvnan  y  cvjJiUa  Vi»  depaitunemm  de  tuuanat 
lot  mulUkVa  dr  li  pruebaa  firulc*  dando  vj  apn > 
batata  ante*  de  pener  cn  funcaonamacnto  Us  apbca- 


2).  tSe  aar^avelMn  lm  reiultain  ton  dum  realet’’ 

H  i&uitepenoiulconloacooocuiaentotyexpentn- 
cUaderaaduaquerevua  con  penobodad  lot  coot- 
ponente*  Knew  de  lot  equtfu*  uguarndo  Ui  me 
tructione*  dr  loa  fabnc  ante* 1 

25.  tSe  orapien  U*  condicione*  amtoenude*  tempe 
raaan.  bumedad.  etc  .  que  recooaenda  el  fabneante 
pan  el  cquipo.  anu*.  etc  ? 

»  iFjwara  cuntrofc*  apropaadoa  pun  que  «3*o  1* 
penctut  autocuadas  Impart  aoerto  a  k»  cquipn*. 
cicia*.  ditto*.  documentation  de  program**.  etc.? 


tEaltten  norma*  tefcre  hnra»  < 
latmtradaa)  tablet  del  pmonal  fuera  de  na  hora- 


VA  Otocrtacionc* 


Cuadro  II. I  (ctmtinuacUn) 


1 1 .4. 1 J.  Kstahlceimiento  dc  ohjrtivi 


bn  luncion  dc  la  importancia  dc  lot  rictgot  quc  sc  hay  an  dctectado.  cl  utlm 
cstahlcccri  lot  objetivo*  dc  la  auditoria.  cuya  dcterminacidn  concrcU  permitiri  Mm 
con  clandad  cl  alcancc  dc  la  misnu 

Sc  considers  quc  cl  nesgo  ct  la  prcscnlacidn  negativa  dc  un  objetivo  dc  audiMfe 
Si  la  oracibn  negativa  sc  transforms  cn  oracidn  aftrmativa.  sc  ticnc  como  rcsuliaJoa 
objetivo  dc  control.  Veamot  un  cjcmplo: 

Una  dc  las  preguntas  del  cuetfionano  para  la  enfrevista  con  cl  Director  k 
Explotacibn  dice  lo  siguicnte: 

*  Tirnr  tu  rmprrsa  normal  tstritas  dr  edmo  dtbtn  harrrsr  lot  traspasn  k 
programas  rn  drum  olio  a  programas  m  rxpioioaOn  7  I 

Si  la  rctpucsta  fucra  neganva.  tc  podria  concluir quc  cxitic  un  nctgo  pen  cl  hccho  I 
dc  quc  cada  emplcado  podria  haccr  lot  tras vases  sin  tomar  las  medidas  dc  scgurriid 
nccctanat  y  porque  cl  proccto  dc  trasva.se  no  ha  dejado  pisus  dc  audiloria  para  puJn  | 
rchaccr  lot  pasot  quc  tc  han  dado  y  podcr  comprobar  quc  cl  trabajo  sc  ha  rcalizadode 
mancra  corrccta.  Por  el  solo  hccho  dc  no  cxisiir  normas  even  tat  no  quicre  deeir  qoe 
lot  tract  ates  sc  realKen  mat.  N'o  obstante  ct  una  posibilidad  dc  nesgo  por  lo  qae 
debemos  convcnir  cstc  nesgo  potential  cn  objetivo  dc  auditoria. 

La  dcbilidad  scria  la  siguicntc: 

In  rmprrsa  no  tirnr  normas  ruritai  dr  edmo  drbrn  hoc  me  los  iraspasoi  dr 
programas  tn  drsarrollo  a  progtumat  rn  explotai  urn. 

El  objetivo  dc  control  scria: 

Comprobar  t/ur  la  rmprrsa  tirnr  normas  rsrritas  dr  cAmo  drbrn  hattrst  lot 
traspasos  dr  pro  gramas  rn  drsarrollo  a  programas  rn  rxptotaddn. 

Para  alcanzar  esc  objetivo  habrl  quc  discAar  una  sene  dc  pruebas  dc 
cumplimicnto  y  suvtantivav  Cada  una  dc  etas  pruebas  ct  un  proccdimicnto. 

Los  proccdi  mientos  podrian  ter 
a!  Pntrbas  dr  cumphmirnto 

Si  sc  confuma  quc  reallocate  no  cxittcn  numulct.  no  sc  pueden  haccr  pnicbav  dc 
cumplimicnto.  poet  las  pruebas  dc  cumplimicnto  const sten  cn  comprobar  quc  sc  cstia 
cumplicndo  Us  normas  cstablccidat.  El  proccdmucnio  podria  ser  como  siguc: 
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Comp  robot  quf  tat  nontax  para  pautr  un  programa  dr  dtsarrollo  a  explotacidn 
*o*i  adecuculas  v  que  la  rmptrta  las  end  cumpliendo. 

La  inexistcncia  de  manualcs  no  iraplica.  lor/osamcnte.  que  los  traspasos  sc  lies  an 
*  Cabo  iaadccuadamcMc.  Para  confirmarlo.  al  no  existir  norma*,  sc  tendrian  que 
rcili/ar  pruebas  sustantivax. 


hi  Pruebas  tu  stanitsas 

Resisar  las  apUcactones  si  son  pocas  aplicaekmes  sr  reman  todas;  si  ion 
nuchas  se  rher  ana  outturn  representation-  que  se  ban  paxado  de  desarrollo  a 
etplotacitin  v.  revisar  que  antes  de  pasarlat  ban  sido  somelidas  a  un  loir  de  pruebas  y 
lot  him  super  ado  satisfactorumente.  Que  etat  pruebas  cumpltn  las  requiutos  y 
tsidndares  de I  sector.  Que  el  traspaso  ha  sido  aulonzado  por  una  persona  con  la 
Sufic  if  me  autotidad. 

Asi  poos,  claborando  un  cuestionano  que  cootcmplc  lodos  los  aspect  os  ncccsanos 
para  la  buciu  cxpiouoon  del  xistema  de  mformacidn  y  reali/ando  las  pnaehas 
oportunax  sc  pudran  cstablcccr  los  objetivos  dc  control  dc  la  audiiorfa  (cuadro  1 1 .1). 

Para  comprcnder  y  evaluar  los  rtesgos  no  sictnprc  cs  sufiocmc  con  cnucsiMas. 
atsprccioncs  y  confirinaooncs.  puede  scr  ncccsaho  reali/ar  calculos  y  utiliur  tunicas 
de  rumen  analftico. 

La  confirmacidn  const  sac  cn  corroborar  la  informacidn  que  cxiste  en  los 
Rgistrov-  con  tcrccros.  normalmente  por  esento. 

Los  cilculos  const sten  cn  la  comprobacidn  de  la  cxactitud  ariimflica  dc  los 
KgutmdedaiM. 

Us  tfcnica*  dc  examen  analftico  constsacn  cn  la  comparacidn  dc  los  import  ex 
tepsttados  con  las  cxpcctativas  dcsarrolladas  por  el  auditor  al  evaluar  las 
MetTclaeioncs  que  ra/onaMcmcntc  pueden  esperarse  entre  las  dtstinlas  partidas  dc  la 
■fomacidn  audilada. 

Siempre  que  sea  posiblc  (y  la  ruturale/a  dc  los  datos  lo  pcrmita)  cs  convenient 
tfibur  tec  me  .is  dc  examen  analitico  (Norma  Tfcnica  numcro  5  de  ISACA  sobre  la 
mbraodn  del  trabajo:  ‘The  Use  of  Risk  Asscsmcnt  in  Auditing  Planning"). 
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11.4.2.  Planiflcacidn  Administrativa 


I  4  Planificacidn  Administrativa  no  se  dcbcria  haccr  hatta  ha  her  conclude  ( 
Ptanificacidn  EstratCgica  Kn  estt  fate  de  la  planificacibn  pueden  surgir  c 
problemas  por  coincidir  las  fee  hat  do  trahajo  del  personal  de  la  empresa  audiKeaed 
otros  clientes  Asf  en  esu  clapa  dehen  qucslar  claroa  kn  siguicites  aspcctov. 

Evidencia  (in  cste  punio  sc  podri  hacer  una  relacidn  con  la  documt 
disponible  en  la  eiapa  anterior,  documenuckta  quo  se  utiliml  mdteando  el  Is 
donde  se  encuemra  para  qoc  cstd  a  dispoticidn  del  cquipo  de  asditoefa. 

Personal.  De  qul  personal  se  va  a  dasponer.  qoc  conocimientos  y  expcnercu  n 
lot  ideates  y  si  va  a  ser  necesario  o  no  con  tar  con  cxpcrtos.  tanto  personal  de  h  | 
empresa  aoditora  conto  expert  os  extemos. 


Caltndario.  Establecer  la  fee  ha  de  comicnio  y  de  finali:ac»6n  de  la  audiiorti  j 
determinar  ddttde  se  va  a  rralizar  cada  tarca  en  las  dependenoas  del  clicnte  o  re  la 
oficinas  del  auditor. 


Coordination  v  cooperation.  Es  coovemcntc  que  el  auditor  mantenga  tactui 
relaciones  con  el  "auditano".  que  se  cstablerca.  entre  ambos.  in  nisei  de  coopcraedi 
tin  que  deje  de  cumplirse  el  principto  de  tndependencu  (Nonas  Gcnerales  mieerot 
1. 2  y  3  de  ISACA)  y  que  se  defina  con  claridad  cl  interlocutor  del  clicnte. 


11.4.3.  Planificaci6n  T6crtica 

En  csta  ultima  fase  se  ha  de  claborar  cl  programa  de  trahajo.  En  la  fase  dr 
Ptanificacidn  Estratdgica  se  Kan  cttablecido  lot  ohjctis  os  de  la  auditorfa  En  la  fase  dr 
Ptanificacidn  Administrativa  sc  han  asignado  lot  rccursos  de  personal.  I  tempo,  etc.  Fa 
esta  fase  de  Plumficacrdn  Tdcnica  sc  indican  lot  mdtodot.  -el  mdtodo  de  auditorfa  q« 
sc  va  a  seguir.  es  deeir.  si  se  va  a  seguir  un  mCtodo  que  se  hast  en  lot  controlcs.  o  per 
el  contrano  la  auditoria  sc  ha  sari  en  pruebas  suttaniivas-.  os  procedinuentos.  las 
henamientat  y  las  tdcnicat  que  sc  utilirarin  para  akanear  lot  osjetis  os  de  la  auditorfa 

El  programa  dc  auditorfa  debe  ser  flexible  y  abieno.  de  tal  forma  que  se  puedm  a 
introduciendo  cambios  a  medida  que  se  vaya  conociendo  mejor  el  sistema.  B 
programa  y  el  rcsto  dc  lot  papcles  de  trabajo  son  propiedad  del  auditor.  Ivstc  no  ticne 
la  obligacidn  de  mostrirsclos  a  la  empresa  que  se  audita  "aoditario").  debterdo 
custodiarlos  durante  cl  plazo  que  marque  la  ley. 
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Dedicurle  a  la  planrftcacido  el  liempo  necetario  pcrmilc  evitar  pdrdidat 
inncccsarias  dc  ticmpo  y  dc  recursot  E.  Percy  (Planing  EDP  Audits,  pdgina  7)  dice 
que  la  dittnbucidn  ideal  del  tiempo  cmplcado  en  rcalizar  una  auditoria  tenia:  un  tercio 
ca  ptanificar.  un  tercio  en  rcalizar  el  trabajo  dc  campo  y  un  tercia  cn  hacer  las 
revitionet  y  en  la  elaboracidn  del  informe  o  de  lot  infoemct. 

Para  c labor ar  el  programs  de  trabajo  te  va  a  tcguir  la  gufa  dr  auditorfa  del 
proceto  Gevtkwi  de  la  Explotacidn  |“3.I3  Gcttrdn  de  la  Explotacdn").  Cicitot 
avpccim  de  la  cxplotacidn  dc  un  tittcma  dc  infoemacidn  pocden  qucdv  al  margcn  del 
frcccto  3.13.  Edo  c*  debido  a  la  clatificacidn  que  hace  CobiT  y  que  te  ha  comcntado 
iMcriormelntc  Scguro  que  aquellos  otros  aspcctos  que  cl  lector  cche  de  me  not 
qjedan  recogidot  en  otros  proerto*.  fcsta  et.  puet,  una  de  lat  gnindts  ventajat  que 
presents  la  Gu(a  CobiT.  facilita  la  comunicacidn  en  el  sentido  de  que  podemot 
determiiur  con  clandad  cl  alcance  de  la  auditoria. 


11.5.  REALIZAClON  DEL  TRABAJO  (PR0CED1MIENT0S) 

Conti  sic  en  llevar  a  cabo  lat  pruebat  dc  cumplinucnto  y  suttaniivat  que  te  han 
jlmificado  para  poder  akanzar  lot  objetivos  de  la  auditoria  (Cuadro  1 1.2). 


11.5.1.  Objetivo  general 

Para  el  cato  de  la  auditoriu  dc  la  explotacibn  heinot  teguido  lat  rccomcndacionet 
tfx  «e  induycn  cn  la  Gufa  del  Proyecto  CobiT.  Atf  el  objetivo  genera!  de  la  auditoria 
cottnbria  en: 

Asegurarse  dr  que  las  fiau  iones  que  sirven  de  apoyo  a  las  Ternologias  dr  la 
kformuidn  se  rtalizan  con  regularidad.  de  forma  ordenada.  y  tatisfacen  lot 
mpuirioi  empresarialet. 


11.5.2.  Objetivos  especificos 

Para  akanzar  el  objetivo  general,  se  puede  dividir  etc  objetivo  en  divertos 
objetivot  cspccffWot  tobre  lot  que  te  re  alizarin  lat  pruebat  oportunas  para  ategurarte 
de  que  el  objetivo  general  te  alcanza.  El  etquema  dc  trabajo.  para  cada  uno  dc  lot 
oljetivos.  et  cl  siguiente: 
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Referenda:  3.13/1 


AidMirio  Sombre  de  U  emprcta 

Fecfca  de  auditoria  3I/I2/XXXX 


i  Kimlmo  :  Sumiomro  y  mamrnimteMo 

Proceto  Gctfido  de  la  c  tploucifa 

Ttlulo  Program*  de  trahayo 

I.  Objetito  general 


Fmando  1  I  I  1 

*"«*>  111  I 


I -at  fuoctooca  qur  nrvm  de  apoyo  a  Ui  Tccoologfai  de  U  Informacidi  tc  realixaa  coo  refill*  I 
1  rtdad,  de  forma  oedenad*.  y  talitlacen  lea  rcqututm  rmprrtanakt 

j  2.  Objetito*  mpeeffkxo 


2.1.  Objetito  de  coolrol  tobee  lot  nunulo  de  Inttniectoae*  y  tobre  lot  praredlmko- , 
lot  de  rtpMacida 

tl  terttcio  de  lafocmaodn  hi  exabiecido  y  ha  documentado  pcocnfcmienlot  oormaJirafot 
pm  b  etplolacida  de  lat  Tecnologfai  de  la  Infoemacidn  Todai  lit  tdoclcart  y  lat  pi  Mi 
foemat  de  lat  Trcnologiat  de  la  lafoemacKSn  totlabdat  too  operatnat  uuli/aatd?  etot  pro- 1 
cedinaentot.  Lot  proccdimieoiot  te  rct-.vin  de  manera  pmddaca  para  atrjurarte  de  que  toa  | 
efeemot  y  que  te  apituii  a  lo  euableodo 


2-2-  ffbjeflto  de  control  tobre  el  inkio  de  lot  procetot  y  olnt  torumenlaridn  de  fun- 
doaamleala 

I  ■>  direcctdn  del  teevKio  de  laformaetdn  te  ha  atrgurado  de  que  el  fcnooal  de  eaptoucite  | 

•  l-.tid  tuficicnlrmrnle  faimlian/adn  coo  lot  procetot  que  etlin  (unemnaado. 

•  Que  dttot  mi  lo  documentadot  adecuadameoie.  y 

•  Que  penddacamcolc  te  rraluan  pruebut  y  te  a;utian  u  precede. 

2J.  Objetito  de  control  tobre  la  agenda  de  trabajo 

la  direcctdo  dd  tervicio  de  laformaciAn  te  ha  ategurado  de  que  ta  afenda  de  trabajo.  lot 
procetot  y  In  ditlinut  urrat  etUa  orfaiu/adat  <co  la  tocueocu  nAi  efectiva  poubie.  nu- 
mmarando  w  uuli/actdo.  y  te  akanzan  lot  objetito*  etlablevidot  Tanlo  la  agenda  iaioal 
coeno  lat  naodifKaciooet  que  te  ban  peoducido  hao  tado  auton/ada.  al  revel  de  retpootaS- 
lidad  apeopiado. 

2.4.  Objetito  de  control  tobre  talidat  fuera  del  horarto  normal  Ce  trabajo 

Lot  pox'tdnnienioi  implamadot  idenbfKan.  Klaran  y  apruebon  lat  talidat  fuera  del  heeario  I 


25.  Objetito  de  coatrol  tobre  U  nmiinaiidad  rn  el  proceto 

to  lot  caratuot  de  tureo  de  lo*  oprradoret  lot  procetot  raantienca  ai  coatinuidad  ufiaieodo 
lot  protocolot  ettaMecidot  para  el  relevo  de  la  acbvidad 


Cuadro  1 1.2  (Continual 
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Referenda:  3.13/2 


Pw  Fccfcj 


AodiUrto  Nccnbrc  6c  U  ctafveu 

»>vh.  dc  Mditoria  3I/I2/XXXX 

Prtxrwi  G«M»6n  dr  U  f  xploucita 


Prefm*) 

Roiudo 


BB 


TJlulo  I'roffamj  6c  tnbajo 


Cuadro  1 1.2  (eontinuacidn) 
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Referenda:  3.13/3 


I 


■Mcmacaonalri  aproptada*  y  com  lat  prfcrbcat  > 

kn  mm  de  In  rnrjorca  induinu 

Rm>u  una  muratra  frprneraativa  dr  to*  ma 


acrmanacaVi  dr  lot  procrtoa  para  confumar 
qur  ten  procedunicraoi  «r  acmrtm  a  prurbat  > 
qur  ae  actual  I /Ml  coo  pmodactdad 
1 1  txaimaar  rl  horano  dr  procrto  pat  a  atrpiranr 
dr  an  adrctaacido  y  uifiocwu  dr  fuacicna- 
nurrcocon  rl  projrama 

II  Sekccxmar  uw lanoa  y  drimmnar  u  e»  sufi- 
cirntr  el  rrsdunicnto  oprradvo  dr  lai  opera 
clone*  dr  U>  acrittdadrt  rn  curao  y  ea  rrlacada 
con  Ion  aoarmkn  dr  nrael  dr  acoacao 
I)  Srkccaonar  una  mucvtra  dr  arrnuaac >ooet 
anormaln  dr  kn  trabafu*  y  drtrrnuaar  la  aolu- 
cidn  dr  loa  probietna*  qur  ocomrroo 
14  Idratificar  loa  cunoa  dr  fornacadn  prdctica  dr 
kn  oprradorrv  kn  canbaoa  dr  lunxn  y  lo  ocu 
mdo  coo  Ua  vacaoonra 

1$  Sek<c>o«M  «u  muratra  dr  loa  duocn  dr  la 
coanola  para  comprobar  la  rucimd.  irodna- 
cut  rn  iu  funoonamimao.  y  la  revtudo  per 
pane  dr  la  duvctiva  dr  la  reaokacida  dr  pro- 
Nrmat  -rtaluar  rl  raqurma  dr  aolucidn  dr 


Cuadro  11.2  Icantmuacuin) 


Referenda:  3.13/4 


Cuodro  11.2  (cotumuariiin) 
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•  Comprcndcr  lax  lareax.  lax  actividadcx  del  peoeexo  quo  xc  exti  auditando 

Si  furra  neceiario  ampliarfamos  lat  mlrrvistat  que  he  mot  rralizado  ot  fa 
fair  dr  plant ficactdn  rstratigka- 

•  IVtcrminur  si  son  o  no  aprupiadox  lox  coolrok-x  que  extin  inxtaladox. 

Si  furra  necesarto  amphariamos  las  prurba \  que  hrmot  rralizado  ra  la  fat 
dr  plantftcacidn  tstraUgica. 

•  Haccr  pcvchax  dc  cuinpUmienio  para  determinar  si  lox  comrolcx  que  cafe 
inxtaladox  funciooan  xegvin  lo  cxtablcc  ido.  dc  inane  ra  consixientc  y  comirnu. 

FJ  objrtivo  dr  lat  prurbat  dr  cumphmiento  ctmiiut  rn  analtyir  rl  niirl  dr 
cumphmiento  dr  lat  normal  dr  control  que  time  establecidai  rl  ~auditarw‘. 
Sr  tupone  que  etas  norma*  dr  control  establecidai  son  rficientrs  y  rfretiva j. 

•  Maccr  pruebax  xuxtantivax  para  aquclkvx  objerivox  dc  comic!  cuyo  but* 
funcionamicnlo  con  lax  pruebax  dc  cumplimtcnio  no  nox  ha  xaiivfecho. 

El  objrtivo  dr  lat  prurbat  suslanlixat  consult  rn  realizar  lat  prurbas 
nee  r  tanas  sobrr  lot  datos  para  que  proporcionrn  la  sufirienir  seguridad  a  It 
dirrccitfn  sobrr  si  st  ha  alcanzodo  tu  objrtivo  empresarial. 

Habra  que  reali/ar  cl  miximo  numcro  dc  pruebax  xuxtaMivax  xi: 

•  No  cxixicn  inxtrumcntox  dc  medida  dc  lox  coMrolcx. 

•  Lox  inxtrumcntox  dc  medida  que  cxixicn  xc  conxidcra  que  no  xon  lx 
adccuadox 

•  Lax  pruebtax  dc  cumplimicmo  indican  que  lox  inxiiumcntox  dc  medida  de  lox 
controlcx  no  xc  han  aplicado  dc  manera  conxixtcnte  y  coMinua. 

1:1  auditor  deberia  haber  reali/ado  lax  xufivientex  pruebax  xobre  lox  rexultadox  de 
lax  dixlintax  ureax  y  aelividiutcx  de  la  explMm-idn  del  xixtema  de  informacido  coo» 
para,  poder  coocluir  xi  lox  objetixox  dc  control  xc  han  alcan/ado  o  no.  Con  ex* 
informacidn  debe  claborar  un  m forme  y  si  precede  hacer  lax  rccomendacionet 
opommax. 
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11.6.  INFORMES 


11.6.1.  Tlpos  de  informes 

Una  vc/  reali/adas  todas  estas  fate*,  cl  auditor  esti  eo  condicionrs  dc  cmitir  un 
■forme  cn  cl  que  exprese  su  optnnSn  Los  tipos  dc  opiniooes  Msicas.  gcncralmcnlc 
sctfUdas  cn  auditorfa.  son  cuatro:  I .  Si  sc  concluyc  que  cl  sistema  es  satisfactory.  cl 
aafctor  darfa  una  opiniOn  fawmbte.  2.  Si  cl  auditor  consider*  que  d  sistema  es  un 
drsastie.  su  opinion  scria  dtifavonM*.  3.  El  sistema  es  vilido  pern  tiene  algunos 
fillcs  que  no  lo  invalidan.  opmiOo  con  %abtdaJt%.  4.  Tambkn  podrii  ocurrir  que  cl 
■nf.or  no  tenga  sufioentcs  clcmcntos  dc  juicio  para  podcr  opinar;  cn  esc  caso  no 
cpinarfa:  dtr.tgaadn  d*  opuuiin.  A  continuation  sc  mucstra  cOmo  podrii  rcdactarsc 
cl  pdrrafo  dc  opinion  cn  cada  uno  tic  los  eases  que  hemos  comcntado  sara  cl  objetivo 
pwr*l  que  sc  ha  propucsto. 


I.Fasorabk 

En  nucstra  opinion  d  seme  m  de  cxplotaciOn  y  las  funcioocs  que  tinea  de  apoyo 
i  Us  Tccnologfas  dc  la  Informacidn  sc  reali/an  con  rcgulahdad.  dc  fomi  ordenada  > 
utrsfacen  los  requisites  cmprcsarialcs. 


I  Desfavocabk 

En  nucstra  opiniOn.  dada  la  impoctancia  de  los  cfcctos  de  Us  salvcdadcs 
comeniadas  cn  los  puntos  X.  XI....  dc  este  infocmc.  cl  servicio  dc  ctplotaciOn  y  las 
fuKioecs  que  sirsen  dc  apoy  o  a  las  Tccnologfas  dc  U  Information  NO  sc  reali/an  con 
tc|ularidad.  Nl  dc  forma  ordenada  y  NO  satisfaccn  los  requisitos  emprrsanaks 


1  Con  sals  edades 

Ea  nucstra  opiniOn.  cxccpto  por  los  cfcctos  dc  las  salscdadcs  que  sc  come  (Man  cn 
<1  pinto  X  dc  este  informe...  ten  una  pane  del  informc  sc  indicarir  cuiks  son  las 
tahtdadcs  y  cn  este  mismo  documcnto  o  cn  documento  a  pane  sc  harm  las 
(Komcndacioocs  oponunas  para  mejorar  el  sistema.  para  que  cn  una  siguicntc 
lulitooj  no  cxistan  las  salvcdadcs  comcMadas)  el  servicso  dc  cxylotaciOn  y  las 
ftncioncs  que  sirven  dc  apoyo  a  las  Tccnologfas  dc  la  Informacidn  sc  reali/an  con 
itgulmdad.  dc  forma  ordenada  y  satisfaccn  los  requisitos  empresariak.. 
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4.  IVncgucion  dr  opinion 

En  cl  caso  dc  quc  Us  sal vcdadcs  impidan  haccmos  una  opinion  del  scrsicio  de 
cxptoiacibn.  ya  sea  po»  falta  de  mformacido  o  par  no  haber  tenido  acccso  a  elU  par  bi 
motives  quc  fueren.  pero  siempre  ajenos  a  nuestra  voluntad.  y  no  obstante,  htho 
inlentado  hacer  pruebas  ahemativas.  el  auditor  denegarf  Ul  0pini6n. 


11.6.2.  Recomendaciones 

Hn  el  cast)  de  que  el  auditor  durante  la  realincidn  de  la  audiloria  delate 
debilidades.  este  debc  comunicatUs  al  auditado  con  la  mayor  prontitud  post  Me.  Ut 
ctqucma.  gencralmcnte  accptado.  de  edeno  presentar  Us  debilidades  cs  el  sigusente: 

•  Dcscribir  la  debilidad. 

•  Indicar  el  criterio  o  mstnimento  dc  medida  quc  se  ha  utilizado. 

•  Indicar  los  efcctos  que  poede  lener  en  el  sistema  dc  informacidn. 

•  Dcscribir  U  rrcomendacidn  con  la  quc  eta  debilidad  se  podria  eliminar. 

A  continuacidn  se  completan  las  caractcrfsticas  quc  debc  tener  un  burn  inferne 
de  audiloria  siguiendo  Us  normas  que  para  ul  cfecto  ha  emiudo  ISACA. 


11.6.3.  Normas  para  elaborar  los  informes 

La  eUboracidn  y  el  contenido  dc  los  informes  de  audiloria  deben  ajustarse  a  las 
Normas  de  Audiloria  de  Ststemas  de  Informacidn  General mcmc  Aceptadas  y 
AplicaMcs  (NASIGAA).  Entre  otros  motivos  porque  facilita  U  comparacidn  de  loi 
in  formes  realitados  por  distmtos  auditores.  Por  tanto.  siguiendo  las  normas  mimeroi? 
y  10  de  "General  Standards  for  Information  Systems  Auditing"  cmitidas  por  ISACA 
adonis  del  pinafo  de  opinidn  antes  indicado.  el  informe  de  audiloria  deberi  comma 
otra  informacidn  adtciooal. 

El  informe  es  el  mstnimento  que  se  utiliza  para  comumcar  los  objetivos  de  It 
audiloria.  el  afcancc  que  vaya  a  tener.  las  debilidades  que  se  detecten  y  las 
concluuones  a  las  que  se  lleguen.  A  U  hora  de  prrporar  el  informe.  el  auditor  debt 
tener  cn  cucnta  las  ncccsidadcs  y  caractcrfsticas  dc  los  que  se  suponen  serin  va 
dcstinatarios.  El  informe  debe  contener  un  pdrrafo  en  el  que  se  indiquen  los  objctivM 
que  se  pretenden  cumphr.  Si.  segiln  U  opmidn  del  auditor,  alguoo  de  cstos  objctivoi 
no  se  podiera  alcan/ar.  se  debe  indicar  en  el  informe. 

En  el  informe  dc  audiloria  sc  deben  mcncionar  cuiles  son  Us  NASIGAA  que  se 
han  teguido  para  reali/ar  el  trahajo  de  audiloria.  Tambidn  se  deben  indicar:  las 
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ocepnoocs  cn  cl  seguimiento  dc  csta.%  nocmas  tdcnicas.  cl  motivo  dc  ro  scguirlav  y 
cwndo  proceda.  tambidn  vc  debcn  indicar  k»  cfcctos  potcnciak*  que  yixlicran  tenet 
t*  lot  rcsultados  dc  la  auditorfa. 

En  cl  informc  dc  auditoria  sc  ha  dc  mcncionar  el  alcance  dc  la  auditorfa.  asf  eomo 
doenbir  la  naturalc/a  >  la  extension  del  trabajo  dc  auditorfa.  tn  cl  pdmfo  dc  alcancc 
i 1  debcn  indicar  cl  itcx/ptoccso.  cl  perfodo  dc  auditorfa.  el  sistema.  las  iplicaciono  y 
los  pnxesos  auditadov  Asimismo  sc  indicarln  las  cia-unaiancias  que  bayan  limitado 
d  alcancc  cuando.  cn  opinidn  del  auditor,  no  sc  hayan  podido  comptetar  todas  las 
puebos  y  proccdunicntos  discAados.  o  cuando  cl  "auditario"  haya  impucsto 
mtriccioncs  o  limitacioncx  al  trabajo  dc  auditorfa 

Si  durante  el  trabajo  sc  dctcctaran  dcbtlidadcs  cn  cl  sistema  dc  infcmiacidn  dc  la 
etodad  auditada.  dstas  deberin  indicarsc  cn  cl  informc.  asf  como  sus  causas.  sue 
efccios  y  las  rccomcndacioncs  nccexanas  para  mejorar  o  eliminar  las  dcfcilidadcs. 

El  auditor  debc  expresar  cn  cl  informc  su  opinion  sobre  cl  Aica  o  proccso 
aududo  No  obstante,  cn  funciAn  dc  los  objetivos  dc  la  auditoria.  csta  spinidn  puede 
xr  general  y  referirse  a  todas  las  Areas  o  proccsos  cn  su  con  junto. 

El  informc  dc  auditorfa  debc  presentarse  dc  una  forma  Idgica  y  orjtam/ada.  IX-bc 
ccmener  la  informacidn  suficicntc  para  que  sea  comprendido  por  cl  dcanatarro  y  <Stc 
fuedi  llcvar  a  cabo  las  acetones  pcnmcntcs  para  introducir  las  correccuncs  oportunas 
que  mejoren  cl  sistema. 

El  informc  sc  debc  cmitir  cn  cl  momento  mis  adccuado  para  que  permita  qoe  las 
acocoes  que  tenga  que  poncr  cn  prictica  el  "auditario".  tengan  los  truyorcs  cfectox 
pouusos  posiblcs.  Con  antenondad  al  informc.  cl  auditor  puede  cmitir.  si  lo 
comadera  oportuno,  rccomcndacioncs  dcstinadas  a  personas  cotcrcus.  Estas 
ncomendacMmes  no  deberfan  alterar  el  contciudo  del  informc. 

En  el  informc  sc  debe  indicar  la  entidad  que  sc  audita  y  la  fccha  dc  cmisidn  del 
■fame,  tambiln  sc  debcn  indicar  las  rcstriccioncs  que  fucsen  consementcs  a  la  hora 
de  disriboir  cl  infonne  para  que  dsie  no  llcguc  a  manos  mdcbidas. 


11.7.  U  DOCUMENTAClON  DE  LA  AUDITORIA  Y  SU 
ORGANIZACION 


11.7.1.  Papeles  de  trabajo 


ta  document  acu^n  dc  la  auditorfa  de  los  sistemas  dc  informacidn  esc  I  registro  del 
tnbiyj  Ac  auditorfa  realizado  y  la  cvidencia  que  sirve  de  sopone  a  las  dcbtlidadcs 
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enconlradax  >  lax  concluxioncs  a  lax  quo  ha  llcgado  cl  auditor  Esos 
gcnlncamcnlc.  xc  dcnominan  papelcx  dc  trabajo.  I  .ox  papdcx  ifc  trabajo  te 
dixcAar  y  otgam/ar  xcgOn  lax  circunxianciax  y  lax  necexidadex  del  auditor,  Exto*  I 
xer  complerox.  claros  y  concixox.  Todo  cl  trabajo  dc  auditona  debe  quedar 
cn  papelex  dc  trabajo  por  lox  xiguientes  motives: 


•  Rccogen  la  cvidencia  obtenida  a  lo  largo  del  trabajo. 

•  Ayudanal  auditor  en  el  dcxarrollndc  xu  trabajo. 

•  Ofrcccn  un  xoporte  del  trabajo  rcalizado  para.  aaf,  podcr  uriliurto  a  | 
auditoriax  sueexivax. 

•  Pemtiten  que  el  trabajo  pueda  xcr  revriado  por  tcrccrw. 


Para  concluir  la  iinportancia  que  ticnen  lo*  papelex  dc  trabajo,  digamos  que  tea 
que  el  auditor  ha  finalizado  xu  trabajo.  lox  papelex  de  trabajo  xoo  la  dnacs  porta 
que  tiene  el  auditor  dc  haber  I  lev  ado  a  cabo  un  examen  adecaado.  Siempre  cxi*  h 
poxibilidad  de  que  el  auditor  tenga  que  demoxtrar  la  calidat  de  xu  anilixix  ante  ta 
tribunal. 


11.7.2.  Archivos 

l.ox  papelex  dc  trabajo  que  el  auditor  va  claborando  sc  fueden  organizar  en  to 
archives  principalex:  el  archivo  permanence  o  continuo  dc  auditoria  y  el  arrttro 
cocricmc  o  dc  la  auditoria  en  curso. 


1 1.7.2. 1 .  Archivo  permanente 

Cl  archivo  pemunente  contiene  lodos  aquellox  papelex  que  ticnen  un  intertt 
continuo  y  una  validrz  plurianual  tales  como: 

•  Caracterlsticas  de  lox  equipox  y  dc  lax  aplicaciones. 

•  Manualex  de  lox  equipox  y  de  lax  aplicacioncx. 

•  D*xeripci4n  del  control  intern-' 

•  Orgamgramax  de  la  emprexa  cn  general. 

•  Organigrainax  del  Servicio  de  Informaridn  y  divixtdn  cc  funcioncx. 

•  Cuadro  de  pianificacidn  plurianual  dc  auditoria. 

•  Cxcrituras  y  contratox 

•  Conxidcracionex  xobre  cl  ncgocio. 

•  Conxidcracionex  xobre  el  sector. 

•  Y  cn  general  toda  aquclla  informacidn  que  puede  tenet  una  impottancia  para 
auditoriax  poxtenorex 
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11.7X2.  Archivo  corricnte 

Este  archivo,  a  su  vcz.  sc  suclc  divider  cti  archivo  general  y  cn  archivo  dc  Areas  o 
deproccuM. 

11.7.2.2. 1.  Arthivo  ttntml 

Los  documcnios  que  sc  suclc n  archival  aqui  son  aquellos  que  no  ticncn  catiida 
opcaTica  cn  alguna  dc  Us  Areas/procesos  cn  que  hemos  dividido  cl  trahojo  dc 
aaMorla  tales  como: 

-  HI  Informc  del  Auditor. 

-  La  Cana  dc  rceomcndaciones. 

Los  Acontccimientos  postcriorcs. 

-  HI  Cuadro  dc  plonificacidn  dc  la  auditoria  comcnte. 

•  La  Correspondence  que  sc  ha  mantenido  con  U  dircccidn  dc  la  tmpresa. 

-  El  licmpo  que  cada  persona  del  cquipo  ha  empfcado  cn  caAa  una  dc  las 
Arcas/procesos. 


11.7.2.2.2,  Archivo por  lireas/procnoi 

Sc  debe  preparar  un  archivo  para  cada  una  dc  las  Areas  o  prccesos  cn  que 
htvamos  dividido  cl  trabajo  c  incluir  cn  cada  archivo  todos  los  documcnios  que 
hatamos  neccsilado  para  reali/ar  cl  irahajo  dc  esa  Arca/proccso  concrcto.  Al  me  nos 
AchoAn  incluirsc  los  siguientes  documcnios 

-  Programs  dc  auditoria  dc  cada  una  dc  las  Arcas/proccsos. 

-  Conclusioncs  del  Arca/proccso  cn  cucslidn. 

-  Conclusioncs  del  procedimicmo  cn  cucstidn. 


11.8.  CONCLUSIONES 

Pixie mov  concluir  diciendo  que  la  labor  del  auditor  infonnAlieo  e>  cscncial  para 
pnntizar  la  adccuacidn  de  los  sistemas  informAticos;  para  ello  el  auditor  debe  reali/ar 
■  trabajo  ateniendose  a  las  Nomus  de  Auditoria  dc  Sistemas  dc  Informacion 
General mente  Acepladas  y  ApticaMes  como  requisite  ncccsano  qur  garanticc  la 
caul*]  del  trabajo  reali/ado  y  que  U  evidencia  de  CMC  traba>o  qoede  documcniada 
Ea  funcido  de  que  la  socicdad  se  va  mfortnaii/ando  cada  sc*  mAs.  <s  nccesario  ir 
dabceando  nor  mas  para  que  la  audicncia  de  la  auditoria  -que  es  toili  la  socicdad- 
dpi  la  seguridad  dc  que.  los  sistemas  funcionan.  sus  datos  sc  mantienen  con  U 
AcMa  confidcacialidad  y  los  informes  dc  los  distintos  auditores  se  pued.-n  compafar. 


www.FreeLibros.me 


ALPtTOUlA  INHMtHATlCA  UN  BJOgif  PKACTXTO 


11.9.  LECTURAS  RECOMENDADAS 

General  Standards  for  Information  Systems  Auditing.  Information  Systems  Audit  ad 
Control  Foundation.  Illinois.  F.F..UU.,  1987. 

F.l  e studio  v  evaluation  del  control  intemo  en  entomos  tnformatiytdos.  Document  | 
numcro  I  del  REA  (Registrode  Fcooooustax  Audit  ores),  enero  1996. 

Rccolucido  dc  19  de  enero  de  1991.  del  Instituto  de  Contabilidad  y  Auditor^  it 
Cucnut  por  la  que  sc  publican  lac  Normas  T<cnicas  dc  Auditoria 

F.DP  Audit  Workpapers.  EDPAF  Audit  guide.  EDP  Auditorc  Foundation.  Inc.  Cart 
Stream.  Illinois.  F.E.UU..  1981. 

Planning  EPP  Audit  William  E.  Perry  Audit  Guide  Series.  EDP  Audtfon 
Foundation.  Inc..  Altamonte  Springs.  Florida.  EE.UU..  1981. 

Computer  Auilit.  Control,  and  Security.  Robert  R.  Moeller  John  Wiley  &  Sons,  be 
Nueva  York.  1989. 

Infonnation  Systems  Audit  Process.  S.  Rao  Valtabhancni.  The  Auditors  Fosindauoa, 
Inc.  2'cd..  1988. 

CobiT  (Control  Objecthes  for  Infonnation  and  relates  Technology f.  Informatut 
Syctemc  Audit  and  Control  Foundation.  IL.  EE.UU..  sepfiemhre  1996. 


11.10.  CUESTIONES  DE  REPASO 

1 .  iCuilcs  con  lot  componcntcc  dc  un  SI  ccgtin  el  Proyecto  CobiT? 

2.  iCuil  es  el  fm  de  la  carta  de  encargo? 

3.  tCuJlcc  son  lac  faces  dc  la  ptanlfWactOn  dc  la  auditorial 

4.  iQu <  categorise  ce  pucden  dictinguir  en  kw  controlec  generates? 

5.  Dcfina  “control".  cC6mo  se  cvaldan  los  controlec'’ 

6.  cQu*  difcrencias  cxistcn  entre  las  prucbas  custantivas  y  las  dc  cumpli- 
mienio? 

7.  |,Cu4les  son  los  lipos  de  informes  de  auditoria? 
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t  j,C6mo  evlrucoiraru  un  in  forme  de  aodiloria  ’ 

9.  Defina  los  tipm  de  archives  principle*  y  coMcnido  de  cada  uno. 

10  Espccifique  algunov  objetivo*  de  control  a  revival  en  la  audiloria  de  la 
expkxacido  de  Ww  Mviem.iv  information. 
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AUDITORfA  DEL  DESARROI.I.O 


JoU  Antonio  Rode ro  Rodero 


12.1.  INTRODUCCION 

la  ncccsidad  dc  quc  una  organizacidn  cucnlc  con  procedimiettos  dc  control 
ictcmo  ex  accptada  ampliamentc  cocno  garantia  dc  una  gesltdn  efica.  orientada  a  la 
ecevecucion  dc  lo»  objetivos  marcados.  La  luncKta  auditora  cs  jrecisamcntc  la 
axargada  dc  cocnprobar  la  cxistencia  dc  estos  proccdimicnios  dc  control  y  dc  vcnficar 
ui  corrccta  dcfinictdn  y  aplicacidn.  dctcrminando  las  dcfictencias  quc  cxixtan  al 
ttspcclo  y  los  ricsgos  axociado*  a  estax  carcncias  dc  control. 

Tcnicndo  cn  cucnta  quc  cada  organuactdn  pucdc  dcscompoocrsc  funcionalmcntc 
eo  dislintos  dcpartamcntos.  areas,  umdadc*.  dc..  cs  ncccvinn  quc  los  mccanixmos  dc 
control  into  mo  existan  y  sc  respeten  cn  cada  una  dc  las  divisioncs  funcianalc*  para  quc 
bus  cumplan  adccuadamentc  mj  cometido  y  Kagan  posiblc  quc  la  orginincidn  cn  su 
oonjunto  funcionc  dc  mancra  corrccta. 

Aplicando  la  divixtbn  funcional  al  dc  portamento  dc  informitict  dc  cualquicr 
cntldad.  una  dc  las  areas  quc  tradlctonalmcmc  aparccc  cs  la  dc  sksanollu.  t'-oa 
funcidn  aharca  lodas  las  fascs  quc  sc  deben  xeguir  desde  quc  aparccc  la  ncccsidad  dc 
dnponcr  dc  un  dclcrmmado  sistema  dc  infortnacidn  hasta  quc  dslc  n  constnudo  c 
implantado  Para  dclimilar  cl  imhito  dc  cstc  capituk)  xobre  auditoria  del  dcsarrollo.  sc 
mlcndcrl  quc  cl  dcsarrollo  incluyc  todo  cl  CKk>  dc  vjda  del  software  exccpto  la 
explotacidn.  cl  mantenimiento  y  la  rctirada  dc  sctvkio  dc  las  aplicac  tones  cuando  dsu 
Knga  lugar. 

Si  sc  entiende  por  ingcmcna  del  software  "cl  cstablccimicnto  y  u«o  dc  principtos 
dc  mgenieria  robustos.  oocntados  a  obtener  software  ccondmico  quc  sea  liable, 
cumpla  los  requisites  prcsiamcnic  cstaNccukis  y  funcionc  sic  nvancra cficientc  xobre 
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miquinas  rcales-  <FriU  Bauer  I.  la  auditoru  del  desarrollo  Uatari  de  'tnficar  h 
cxistcncia  >  aplicacion  de  procedimientos  de  control  adecuados  que  perma* 
garanti/ar  que  el  desarrollo  de  ««enu»  de  tnformacidn  vc  ha  llevado  a  cabo  tepa 
eum  peuxiptos  de  ingcmcria.  o  por  el  contrano.  determinar  las  deficicncsas  cxistecta 
en  ole  scntido. 

FJ  plantcamicnio  de  cste  capftulo  estf  orientado  al  desarrollo  de  sistemas  it 
inlormacido  en  el  scntido  traditional,  un  que  sc  ha) an  tenido  en  cucnu  la 
pcculiandadcs  del  desarrollo  de  otro  tipo  de  software  como  puedan  ter  utJrma 
opcraiivos.  software  de  comuntcacioncx.  software  empoirado.  etc.  Tampoco  te  It 
tenido  en  cucnta  la  gestibn  de  la  calidad  en  el  detarrollo.  pues  hay  un  (affair 
dedicado  a  lal  efecto.  ni  conccpto*  generates  de  control  intemo  y  auditorfa  que  ya  a 
ahordaron  en  la  parte  I  del  libro  (por  eyemplo.  enterics  para  la  rcalizacidn  del  inform 
recomendaciones  en  el  trato  con  lot  auduados.  neccudad  de  independencu  dd 
auditor,  preparacidn  y  realizacidn  de  las  entrevislas.  etc  ). 


12.2.  IMPORTANCIA  DE  LA  AUDITORlA  DEL  DESARROLLO 

Aunque  cualquier  departamento  o  Area  de  una  organi/acion  es  susceptible  de  «o 
auditado.  hay  una  sene  dc  circunstancias  que  haccn  especial  men  te  import  ante  al  fro 
dc  desarTollo  y.  por  tanto.  lamNfn  su  auditorfa.  f rente  a  ouas  functones  o  ircat  deem 
del  departamento  de  informdtica: 

•  Ian  asances  en  tecnologfas  de  los  computadorcs  ban  hoc  ho  que  actual  me  nir  d 
decaf  io  mis  unportantc  y  el  principal  factor  de  fxilo  de  la  informilka  sea  la  meyoradt 
la  calidad  del  software. 

•  FJ  facto  deumado  a  software  es  cada  see  superior  al  que  se  dcdica  a  hanJ»« 

•  A  pesar  de  la  juventud  de  la  ciencta  mformitica.  hate  aftos  que  se  produyo  U 
denominada  “crisis  del  noftwarc"  Incluyc  problemas  asociados  con  d 
desarrollo  y  numenumento  del  software  y  afecta  a  un  gran  nuinero  dt 
org ani/aciones  En  cl  drea  del  hardware  no  sc  ha  dado  una  crisis  equivalent 

•  El  software  como  producto  es  muy  dificil  de  validar.  Un  mayor  control  en  d 
proceso  de  desarrollo  inerrmenta  la  calidad  del  mixmo  y  disminuye  lot  coda 
de  mantenimiento 

•  El  indice  de  fracasos  en  proycctoi  de  detarrallo  es  demasiado  alto,  to  nd 
denota  la  inexistencia  o  mat  functonanueoio  de  los  coot  roles  en  cstc  proceso 
Lam  datos  del  Government  Accounting  Office  Report  (EE.UU  )  sobre  disen* 
proycctm  de  software  (valor ados  en  6.8  mi  I  lories  dc  ddlares)  son  ilustrativm 
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Un  1 .5  se  iu6  ui  y  como  *c  cntrcgd 
Un  3.0  %  sc  usO  despues  dc  algunos  cambsos 
Un  I9.S  %  sc  uv6  y  lucgo  sc  abandon*  o  sc  rchi/o 
Un  47  %  sc  entreg*  pcro  nunca  sc  us*. 

Un  29  *  se  pag6  pcro  nunca  sc  cntreg*. 

Las  apltcactoocs  inlormiiicas.  que  ton  cl  producto  principal  otxcnnlo  al  final 
del  desarrollo.  pasan  a  scr  la  hcrramicnu  dc  irahajo  principal  dc  las  Areas 
informali/adas.  conviniendotc  en  un  factor  cscncial  para  la  gcsti*n  y  la  toma 
de  decisiones 


12.3.  PLANTEAMIENTO  Y  METODOLOGIA 

Para  iratar  la  auditoria  del  Area  dc  desarrollo  es  ncccsano.  en  primer  lugar.  acour 
las  funcKxscs  o  lareas  que  son  rcsponsabilidad  del  Area.  Tcniendo  en  cucnta  que  puede 
tuber  vanacioncs  dc  una  organieacidn  a  otra.  Us  funciones  que  tradicionalmcntc  sc 
augsun  al  Area  de  desarrollo  son: 

•  Plaruficacidn  del  Area  y  participacidn.  en  la  mrdtda  que  corresponda.  en  la 
elahnracidn  del  plan  estraidgico  dc  informitica. 

•  Desarrollo  de  nuevot  sistcmas.  Etta  cs  la  funetbn  principal  y  la  que  da  sentido 
al  Area  de  desarrollo  IncluirA  para  cada  uno  dc  k*s  sttiemat.  cl  anilitit. 
discAo.  construccidn  e  implantactdo.  El  maiMcnirracMo  sc  supondri  luncidn 
dc  otra  Area. 

•  Esnxlto  de  nuevot  lenguajes.  Idctucas.  mctodoiogias.  ettindares.  henanuenus. 
etc.  relaciooados  con  el  desarrollo  y  adopt  i*n  de  los  mivrnos  cuando  sc 
considcrc  opoctuno  para  mantener  un  mvcl  de  vigcncia  adccuado  a  la 
KcnologU  del  momento. 

•  EstablccinucMo  dc  un  plan  dc  formaodn  para  cl  personal  adscrito  al  Area. 

•  Fjtabiccimicnio  de  normas  y  controls  para  todas  las  activsdadcs  que  sc 
rcaluan  cn  cl  Area  y  comproboodn  de  su  obsers  ancia 

Una  scr  conocidas  Us  ureas  que  sc  realizan  en  cl  Area  dc  desarrollo.  sc  abordarA 
k  auditoria  dc  la  misma  dcsglosAndola  cn  dos  grandcs  apaitados.  que  mis  urdc  sc 
■MividsrAn  con  mis  deullc: 

-  Auditoria  dc  U  organizackln  y  gestidn  del  Area  de  desarrollo. 

-  Auditoria  de  ptoyectos  dc  desarrollo  de  sistemas  de  informacida. 
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Dc  cstos  Jos  apartadcs  sc  kari  mis  entasis  cn  cl  scguido  poe  tratarse  dc  b 
funoOn  principal  del  irea.  aunquc  ha  dc  tcncrse  cn  cucnta  que  una  buena  organizacifa 
y  gcstkSn  cs  imprcscindiblc  para  que  los  proycvtos  tcngan  una  ctlidad  accptablc. 

I -i  mctodologia  que  sc  aplicari  cs  la  propucsia  poc  la  ISACA  tlnfoenutica 
Systems  Audit  and  Control  Association),  que  csti  hasada  cn  la cvaluackta  dc  nesgee 
part  icndo  dc  los  hesgos  potcncialcs  a  los  que  csti  somctida  una  actividad.  cn  cste  ease 
cl  dcsarrolki  dc  un  sistcma  dc  informacidn.  sc  determinan  una  sene  dc  objetivos  de  I 
control  que  minimicen  csot  riesgos. 

Para  cada  objctiso  de  control  sc  cspccifican  una  o  mis  tdenicas  de  control. 
Umbtln  dcnominadas  simple  me  ntc  cont  roles,  que  conuibuyan  a  lograr  d 
cumpiimiento  dc  dicho  objetivo  Ademis.  se  apoeian  una  serie  dc  pnaebas  de 
cumplimicnto  que  pcrmitan  la  comprobacidn  dc  la  exist encia  y  correcta  aplicacido  de 
dichos  controles  bl  esquema  para  cada  objctiso  de  control  cs: 


OBJETIVO  DF.  CONTROL  X:  - 

C-X-l:  Tdcnica  de  control  /  del  objetivo  de  control  «  ... 

•  Proehas  dc  cumpiimiento  de  C-X- 1 

C-X-m:  Tdcnica  de  control  m  del  objetivo  de  control « 

•  Pruebas  de  cumpiimiento  de  C-X-m 


Una  vez  tijados  los  objetivos  de  control,  scri  funciOn  del  auditor  detcrminar  d 
grado  de  cumpiimiento  de  cada  uno  de  ellos.  Para  cada  objctiso  se  estudiarin  todos 
los  controles  asociados  at  mismo.  usando  para  elk)  Us  pnxbas  de  cumpliraienlo 
pcopuesUs  Con  cada  prueba  de  cumpiimiento  se  obtendri  alguu  es  idencia.  bten  sea 
dirccta  o  mdirecta.  sobre  U  correccidn  dc  los  controles.  Si  una  simple  somptobacicw 
no  ofrecc  ninguna  cvidcncia.  seri  necesana  U  rcali/actdn  de  eximencs  mis  profundus 

bn  los  controles  en  los  que  sea  impracticable  una  reviudn  exhaustive  dc  los 
etrnvntm  «U*  scnfindAi.  bien  poiqur  to*  recurs  or  de  imliorii  i«tn  limilados  o 
peeque  cl  niimero  de  elementos  a  inspcccionaf  sea  muy  cksado.  se  cxamiruri  uiu 
mucstra  rrpreventativa  que  permita  mferir  el  estado  dc  todo  el  ccnjunto. 

F.l  estudio  global  de  todav  Us  conclusiones.  pruebas  y  cvidrncias  obtemdas  sobre 
cada  control  pemutirin  al  auditor  obtener  el  ms«l  de  satisfaccien  sic  cada  obyetiso  de 
control.  *sl  como  cuiles  son  los  punlos  fuertes  y  de  biles  cfcl  mismo.  Coo  csta 
informal ion.  y  temendo  en  cucnta  Us  pamcuUndatlcs  de  U  orjani/acibo  en  estudio. 
se  determinant  cuiles  son  los  hesgos  no  cubierto*.  en  qud  ocJida  lo  son  >  que 
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consccucnciax  se  pocdcn  dcnvar  tie  c*a  situacidn.  Esm  conclusions,  junto  con  las 
recomendaciones  formuladas.  serin  las  que  se  plaxmcn  cn  cl  informe  de  sudatoria. 

Kn  los  aportado*  sigutcnics  sc  agrupan  los  distintos  objctivos  dc  control  cn  varias 
scries.  detallindosc  para  cada  uno  de  cl  los  sus  controlcs  asociados  y  pruehas  dc 
ctsnpJmuento.  El  csquema  seguido  es  el  siguicatc: 

-  Organi/acidn  y  gestidn  del  4rca  de  desarrollo  (sene  A.  aptdo.  4) 

-  Proyccto*  de  desarrolio  dc  sistctnas  dc  informacidn 
Aprobacsdo.  planifkacidn  y  gcstsdn  del  proyccto  (seric  B.  aptdo.  $.1 ) 

A  nil  isas 

Anilists  dc  requisite  ( scnc  C.  aptdo.  5.2. 1 ) 

Espccificacidn  funcional  (sene  D.  aptdo.  5.2.2) 

DiseAo 

DiseAo  itoilco  (scnc  E,  aptdo.  5.3.1 ) 

Constntccidn 

Desarrollo  dc  components  tscric  F.  aptdo.  5.4. 1  > 

Desarrollo  de  procedimiento*  dc  usuarto  (seric  G.  aptdo.  5.4.2) 
Implantacidn 

Pruehas.  implanlacidn  y  aceptacidn  (sene  H.  aptdo.  5.5.1) 


12.4.  AUDITORiA  DE  LA  ORGANIZACION  Y  GESTlON  DEL 
AREA  DE  DESARROLLO 

Aunquc  cada  proyccto  dc  desarrollo  tcnga  cnftdad  propia  y  se  gettione  con  cicrta 
autonomia.  para  poderse  llevar  a  cfecto  neccsita  apoyarsc  cn  cl  personal  del  irca  y  en 
los  procedimicntos  extaMccidos  La  imporuncia  de  estos  aspect  os  ha  motisado  que  se 
dcdique  un  apartado  exclusive  a  la  organt/aetdn  y  gcstidn  del  irca  dc  desarrollo.  Se 
conudenn  ocho  objctivos  de  control  (seric  A): 

0BJE71V0  DE  CONTROL  At:  El  irca  de  dcsanollo  dchc  letter  unox  cometidos 
tujnado*  dentro  del  departamento  y  una  orgam/acidn  que  le  permita  el  cumplirmemo 
detamitmoe. 

CAM:  Debcn  estaWecervc  de  forma  clara  las  funciooes  del  irca  de  dcsanollo 
dmtro  del  departamento  de  informitica.  Se  debe  comprobar  que: 

•  Exisle  el  documcnto  que  contiene  las  funciones  que  son  competencia  del  irca 
de  desarrollo.  que  csti  aprobado  por  la  direccidn  de  informitica  y  que  se 
respeta. 
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C-AI-2:  Debe  ctpccificane  el  organigram*  con  la  rclacidn  de  pucstos  del  Area,  id 
como  el  personal  adscnto  y  cl  pucsro  que  ocupa  coda  persona.  Debe  exuta  a 
proccdimicmo  para  la  promoctdn  dc  personal.  Sc  debe  comprobar  que: 

•  Existc  on  organigram*  con  la  cstructura  de  organi/acido  del  Area  Para  cadi 
pocUo  debe  dcKribif  las  funciones  a  desempeftar.  lot  requisitors  minurot  de  • 
formacidn  y  exponent  ij.  y  U  depcndcncia  jer  Arqutca  del  rrusmo. 

•  Existc  un  manual  de  orgam/aodo  que  regula  Us  relacioocs  enlre  poestov 

•  Existc  la  relacidn  de  personal  adxcnio  al  Area,  incluyendo  el  pucsto  ocupad) 
por  cada  persona.  Sc  deben  cumplir  k«s  requisites  de  los  puesios. 

•  Kstln  csublccidos  los  proccdimicnios  de  promoctdn  de  personal  a  puesios 
supenorex,  teniendo  siempre  cn  cucma  la  expencncia  y  formacidn. 

C-AI-J:  El  Area  debe  icner  y  difundir  su  propio  plan  a  corto.  medio  y  largo  pUto, 
que  sera  cohcrcntc  con  el  plan  de  siuemas.  si  este  existc.  Se  debe  comprobar  que: 

•  El  plan  exisle,  es  claro  y  realist* 

•  I  .on  recursos  acruales,  mis  los  que  cue  planificado  que  se  incorporcn  al  Arm 
son  suficicntes  para  su  cumplimiento. 

•  Se  rex isa  y  act  ua  lira  con  pcnodicidad  cn  funcidn  de  Us  nuevas  siioacioncs. 

•  Se  difunde  a  todos  los  emplcados  para  que  sc  sientan  participes  del  mismo,  al 
rcsio  del  dcpartamcnlo  y  a  lot  departamentos  a  lot  que  let  aiaftc 

('■AW:  El  Area  de  dcsanollo  llctari  tu  propto  control  prcsupucstano.  Se  debe 
comprobar  que: 

•  Se  hace  un  presupoetio  por  ejcrcicio.  y  sc  cumple. 

•  El  presupocste  cuA  cn  consonancia  con  los  objetivos  a  cumplir 

OBJETIVO  DE  CONTROL  A2:  El  personal  del  Area  dc  dcsarrollo  debe  coeiar 
con  la  formacidn  adccuada  y  estar  molivado  para  U  realiracidn  de  su  trahajo. 

C-A2-1:  Deben  existir  proceslmuemos  de  contratacidn  objetivos.  Se  debe 
comprobar  que: 
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•  La*  ofcrtas  de  poestos  del  Area  sc  difunden  de  forma  tuficienie  fucra  de  la 
organiracidn  y  Us  veleccionc*  sc  hacen  dc  forma  objetiva 

•  1  jv  personas  sclcccionadas  cumplen  los  requisttos  del  pucsto  al  quo  acccdra. 

C-A2-2:  Dche  cxniir  un  plan  de  formacidn  que  c*M  en  consonancia  con  los  ob- 
jctno*  tccnoldgrcos  que  se  tengan  en  el  Area.  Se  debe  comprobar  que: 

•  Sc  liene  aprohado  un  plan  dc  formacidn  a  cono.  medio  y  largo  plazo  que  tea 
cohcrcnie  con  la  polftica  tecnoldgica. 

•  Incluye  loda  la  informacidn  rclevante  para  cada  actividad  formaliva:  fccha*. 
horano*.  lugar.  ponraic*.  asislcntcs.  material,  medio*  nccesarios.  etc. 

•  Lac  activtdadc*  formativas  se  evaluan  por  parte  de  lot  accurate*  >  eua 
evaluation  *e  liene  en  cuenta  a  la  bora  de  redefinir  el  plan  de  formacidn 

Conicmpla  la  formacidn  dc  todo*  los  empleadot  y  liene  en  cuenta  cl  puesto  que 
ocupan 


FJ  plan  de  trabajo  del  Area  nerve  en  cuenta  los  tkmpos  dc  fotmacidn. 

C-A2-3:  Debe  existir  un  protocolo  de  reccpcidatabandono  para  las  personas  que 
k  incorporan  o  dejan  el  Area.  Se  debe  comprobar  que: 

•  El  protocolo  existc  y  se  respeta  para  cada  incorporacidn/ahandono. 

•  Para  la  incotporacidn.  incluye  ai  menos  los  estindart*  definidos.  manual  dc 
orgam/aciOn  del  Area,  defimcidn  de  puestos.  etc. 

•  En  los  abandonos  de  personal  se  garantiza  la  protection  del  Area. 

C-A2-4:  Debe  existir  una  biblioteca  y  una  hemerotcca  acccsibk*  por  el  personal 
del  Area.  Se  debe  comprobar  que: 

•  F.sl4n  dispomblcs  un  ntimero  suficiente  dc  libros.  publicacione*  periodica*, 
monogramas.  etc.  de  recoooctdo  prestigio  y  el  personal  tiene  acceso  a  cllos 

C-A2-5:  El  personal  debe  estar  motivado  en  la  realiracidn  de  su  trabajo  Este 
arpecto  es  difkil  de  vaiorar  y  no  es  puramente  tdenko.  Se  debe  comprobar  que: 

•  Existc  algdn  mccanismo  que  permiu  a  los  cmpleados  hater  sugercncias  sobre 
mejoras  en  la  organizacidn  del  Area. 
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•  No  existc  uru  gran  rolacidn  de  personal  y  hay  un  bucn  ambtcntc  de  tr*ba>\ 

•  El  rrndimicnto  del  personal  no  cac  poe  dchajo  de  unos  minimox  razorublesy  ! 
el  absentismo  Uboral  ex  similar  al  del  retfo  de  la  organi/ackta. 

OBJETIVO  DE  CONTROL  A3:  Si  existc  un  plan  de  xixlcmax,  los  proycctos  qx 
se  lleven  a  cabo  se  baxardn  en  dicho  plan  y  lo  mar.tendrin  actuali/ado. 

C-A3-I:  la  icali/aciiin  de  nuevox  proyectox  debe  basarxe  en  el  plan  de  xiucmu 
cn  cuanto  a  objetivos.  marco  general  y  horizontc  temporal.  Se  debe  comprobar  qoe: 

•  Lax  fee  has  dc  realization  comcidcn  con  las  del  plan  de  xixlcmax 

•  la  documentation  relativa  a  cada  proyecto  que  hay  en  el  plan  de  xixtcm»  k 
pone  a  disposition  del  director  dc  proyecio  una  vcz  comcnzado  cl  miuaa 
Esta  information  debe  conlcner  los  objetivos,  los  requisitox  generates  y  « 
plan  micial. 

C-AJ-2:  El  plan  dc  sixtcmas  debe  actual  i/arxc  con  la  informaciOn  que  se  gcneni 
lo  largo  de  un  proeexo  de  desarrollo.  Se  debe  comprobar  que: 

•  Los  cambios  en  los  planes  dc  h»  proycctos  se  comunican  al  responsible  de 
inantenimiento  del  plan  dc  sistemas  por  las  implicactoncs  que  pudicra  tener 

OBJETIVO  DE  CONTROL  A4:  La  propuexta  y  aprobacidn  dc  nuevos  proyccloi 
debe  rcalizurxc  dc  forma  reglada. 

C-A4-I  Debe  cxistir  un  procedinuento  para  la  propuexta  de  realization  de 
nuevos  proyeclox.  Sc  debe  comprobar  que: 

•  Ex  isle  un  mecanismo  para  registrar  nccesidadcx  dc  desarrollo  de  nuevot 
sistemas  y  en  todo  caso  se  aportan  los  sigutenlex  datox:  desenpofa, 
nccesidad.  departamento  patrocinador,  riesgox.  marco  temporal,  coxte  de  la  to 
(MliMfiAn.  iMIayH  que  ipn1»  ad*pl»rwWi  »  Ins  planes  de  negnein.  ele 

•  Se  rexpeta  este  mecanismo  en  lodas  los  propwextax. 

C-A4-2:  IVbc  cxistir  un  proccdimicnlo  de  aprohacidn  dc  nucsos  proycctos  qae 
dependetj  de  que  cxixla  o  no  plan  dc  sistemas.  Si  hay  un  plan  sic  sistemas  xc  debe 
comprobar  quo: 

•  Sc  parte  dc  lax  pautas.  priohdadcs  y  planificactdn  que  Cstc  inarque  para  d 
desarrollo  de  cada  nuevo  sixtema. 
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Si  no  cxiste  plan  dc  sistema*  sc  debe  comprobar  qoe 

•  Hay  un  proccdimicnto  para  cstudiar  la  justificaciOn  y  llcvar  a  <abo  cl  cxtudio 
dc  viahilidad  dc  cada  nucvo  proyccto.  incluycndo  un  anilisi*  ccsicybcncficio  v 
tenicndo  'tcmpce  como  ahemativa  la  no  realiracidn  del  mismo. 

•  E*lin  dcsignadas  a  ireav  dc  la  organi/acidn  que  licncn  conpctcocia  para 
aprobor  formalmente  la  rcati/aoOn  y  pnondad  dc  to*  nucvo*  proyecio*,  asi 
como  cl  caucc  para  rcasignar  prioridadrs  si  fuesc  ncccsario  La  decision, 
afirmativa  o  negativa.  sc  obtendrf  cn  un  (tempo  ra/onaMe  >  «  cormimcari  a 
lospomotore*. 


OBJETIVO  PE  COSTROL  AS:  La  axignacibn  dc  recur*©*  a  lo*  proyecio*  debe 
tocetsc  dc  forma  rcglada. 

C-A5-1:  Debe  cxistir  un  proccdimicnto  para  asignar  director  y  equipo  dc 
desarrollo  a  cada  nucvo  proyccto.  Sc  debe  comprobar  que: 

•  El  procedimicnio  cxiste  y  »c  respeta. 

•  Sc  licne  cn  cuenia  a  todas  la*  perxona*  dixponible*  cuyo  pcrfil  sea  adecuado  a 
lo*  riesgos  dc  cada  proyccto  y  que  tengan  disponibilidad  para  paticipar 

•  hxistc  un  protocolo  para  solicilar  al  recto  dc  la*  irtas  (si  sterna*, 
comunicacionc*.  etc.)  la  participacidn  dc  personal  cn  cl  proyccto.  y  *e  aplica 
dicbo  protocolo. 

C-A5-2:  IX- he  cxistir  un  proccdimicnto  para  conscguir  lo*  recurso*  matcnale* 
■ecesarios  para  cada  proyccto.  Sc  debe  comprobar  que: 

•  El  proccdimicnto  ex  isle  y  sc  respetj 


OBJETIVO  PE  COSTROL  At:  HI  desarrollo  de  sistema*  dc  informacidn  debe 
kacenc  aplicando  prinetpn**  de  ingenierfa  del  softs* are  ampliamcnte  accptados 

C-A6-1:  Debe  tenerse  implantada  una  mctodologfa  dc  desarrollo  Jc  sistema*  de 
nformacibn  voportada  por  hcrraiuienta*  de  ayuda  (CASE).  Sc  debe  conprobor  que: 

La  metodologfa  cubrc  toda*  lax  fates  del  desarrollo  y  ex  adaptable  a  distinto* 
epos  dc  proyccto. 
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1  j  metodologia  y  Us  l&nicas  atociada*  a  U  misna  coin  adapudas  al  a 
tccnoldgko  y  de  orgam/acido  del  irea  de  detarrollo 

Sc  ha  adquindo.  homologado  e  implanlado  tegiin  U\  normas  del  irca  •m  I 
herramienu  CASE  que  ve  adapu  a  la  inclodologfa  clegida  y  que  cumpk  coi  1 
lot  requisites  mfmmot  exigible*  a  una  herramienla  de  ette  lipo 

Sc  ha  foemado  al  personal  sobre  csta  metodologta  y  su  adaptation.  avi  cono  | 
tobre  I  at  Wcnicat  atociada*  y  la  hcrnuntcnU  CASE. 

liable  un  procedinueiMo  que  pemuta  deierminar  cn  quC  proycctos  el  ui 
hcrramienta  CASE  c»  wMijoso. 

btu  claramentc  cspecificado  de  qu<  forma  el  uao  de  la  herramienu  alien  la  | 
fates  de  detairollo  tradicionales 


•  La  herramienla  CASE  es  capaz  de  inantcncr  el  diccionario  de  daios. 

•  La  herramienu  CASE  mantiene  los  requisites  de  confidcnculidad  nccctarioi 
tobre  la  documentation  atociada  al  proyecto. 


C-A6-2:  Debe  extsiir  un  mccamtmo  de  crcacidn  y  actualization  de  cstindara. 
at  I  corao  crtindarcs  ya  definidot  para  lat  aclividadct  principals  Sc  prestari  etpeeui 
accncidn  a  las  herramientat  y  Icnguajcs  de  programacidn  no  cUticas.  Se  debe  compn> 
barque: 


El  mccamtmo  para  creation  de  nuevos  etUndaret  etti  documentado  y  a 
conocido  en  el  irca 

Hay  un  ettindar  para  la  rcalizacidn  del  anilbit  y  ditcAo.  c  incluye  lat  Mcuk* 
y  herramientas  a  mar.  etc. 

Hay  un  ettindar  de  programactrin  para  coda  uno  de  lot  Icngusjet 
homolngnriot  Sr  prestari  especial  aiencidn  a  las  herramicnut  denommaia 
RAD  (Rapid  Application  Detelopmcnt).  ya  que  las  secuencias  potibles  it 
ejecuciOn  son  muy  numerous  (normal  me  me  te  activan  rut  mat  por  etentote 
(riggers  (dispar adores)  y  el  orden  no  te  puede  prever  a  priori)  y  U  taltdackny 
depuration  cs  pricticamentc  rmpotible  si  no  se  estandan/a  U  programackm 

Exitien  convetuos  sobre  los  aspecios  mis  importantes  de  U  prognmacita. 
modular idad.  nomcnclatura  (de  funciones.  variables,  tablas.  colurnnas.  etc  X 
fomuto  de  lot  come  nun  os.  documenuodn  atociada.  csnlo  de  programackn 
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May  un  cstindar  general  para  tod*  la  documcnlaodo  gcncrada.  incluyendo 
documentation  lAcnica  (anilisi*.  discAo.  document*.  tOn  dc  los  program**, 
cuademos  de  cargo.  etc.),  manuales  dc  usuario.  proccdimicntox  de  operaetdn. 
etc. 


•  May  un  ectindor  para  la  Interfax  de  usuario.  incluyendo  discAo  dc  pontallas, 
i  r.  formes,  etc. 

•  Los  estindares  son  conoctdos  per  las  personas  que  deben  usarlos  y  se 
respetan.  Cuando  sc  produce  una  modification.  dsta  se  difundc  dentro  del 
Area 

C-A6-.1:  Los  lenguajes.  compilations.  herramienta*  CASE,  software  dc  control 
dr  vertiones.  etc.  usados  cn  cl  Area  deben  ser  prcvtamcnic  homolog  ados  Sc  debe 
cemprobar  que: 

•  fcsiste  un  mecamsmo  para  la  adquisicidn  y  homolog  aciOn  dc  cualquicr  nuevo 
product*)  software  usado  cn  cl  dcsarrollo.  Sc  deben  evaluar  al  me  nos  los 
siguicntcs  pardmetros  productividad.  porlabilidad  a  otros  entomos.  transicidn 
desdc  los  product  os  actuates,  solvencia  del  proveedor.  nesgo  del  cambio. 
cumplmtiento  dc  los  cstindarcs  del  Area,  compatibilidad  con  cl  entomo 
tccnoldgico  (SO.  protocol**  dc  comumcacionc*.  SGBD.  etc.),  costc.  etc. 

•  Cuando  sc  homologaun  nuevo  productodc  dcsarrollo  sc  forma  al  personal  del 
Area  que  to  vaya  a  maneyar. 

•  Sc  registm  la  information  mis  importantc  accrca  dc  la  configuractOo  dc  los 
product**  reciln  adquiridos. 

•  Los  product**  homologados  son  suficicnte*  para  conseguir  los  objetivos 
marcados. 

•  PcnOdicamcntc  sc  compmcba  cl  nivd  tecnolOgico.  para  ver  si  cs  cohe rente 
con  el  plan  de  u sterna*  y  si  esti  cn  line*  con  cl  dc  otras  organiractoncs 
simtlarcs. 

C-AA-4:  Debe  practicarse  la  rcutiliracidn  del  software.  Sc  debe  comprobar  que: 

•  Eiistc  un  catilogo  con  todos  los  productos  software  susceptible*  dc  ser 
ftutiliudos:  librcrias  dc  f unci  one*,  clases  si  sc  utili/a  program*  ion  orientada 
a  obyctos.  programa*  tipo.  compoocntcs  software,  etc 

•  El  catilogo  cs  conocido  y  acccsibSc  por  todos  los  miembros  del  Area.  e*ti 
actual; /ado  y  ticnc  uno  o  varios  Indices  que  facilitcn  la  bdsqucdo. 
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•  Existc  un  catilogo  dr  lax  ap  licactoncx  dixponiblct  cn  cl  Area.  unto  de  ta 
reali/adax  como  dc  las  adquiridax.  con  loda  la  infomucion  re  lev  ante  dc  la 
minim. 

1-A6-5:  Debe  cxislir  un  mdtodo  quc  pcrrmia  catalogar  y  cstimar  los  licmp  ns  <k 
cada  una  dc  las  fates  dc  los  peoyectov  Sc  debe  comprobar  quc: 

•  El  mCtodo  usado  cs  corrcdo.  csii  hien  ajustado  y  documcniado  adeem 
damcntc. 

•  La*  dcssiacioncx  producidas  cn  cada  pcoyecto  sc  usan  para  ajuxur  lot 
parimetros  dc  caulogacidn  y  cstimacidn  mantemendo  un  histdrico  dc  kt 
mismos. 


C-A6-6:  Debe  cxistir  un  registro  dc  problemax  quc  sc  produccn  cn  los  proycctH 
del  Area,  incluyendo  los  fracases  dc  proyocto*  compktox.  Sc  debe  comprobar  quc. 

•  Existc  un  catAlogo  dc  problemax.  incluycndo  para  cada  uno  dc  elk*  b 
solucidn  o  solucioncs  cnconlradas.  proved o  cn  cl  quc  sucedid.  persona  quc  lo 
rcsdvid.  etc 

•  El  catilogo  cs  accexibJe  para  lodox  los  miembrox  del  Area.  extA  actuali/ado  y 
licnc  uno  o  varios  indices  quc  facilitcn  la  bdsqucda. 

•  Sc  registran  y  comrolan  lodos  los  proved  os  fracasados  (aqucllcn  qae 
conucn/an  y  no  llcgan  a  su  fin),  asi  como  los  rccunos  invenidos  eti  lot 
mismos. 

OBJKTIVO  DE  COSTROL  A7:  Lax  rclacioncs  con  cl  exterior  del  dcpoiumcm* 
ticncn  quc  producirsc  dc  acucrdo  a  un  proccdimiento. 

C-A7-I:  Dehen  mantenerxe  conlactos  con  provccslorcx  para  rocibir  informant 
xuficiente  xobre  producios  quc  puedan  scr  dc  interds.  Sc  debe  comprobar  quc 

•  Sc  exti  cn  conlacto  coo  un  ndmrro  vuficicnic  de  pcovecdorcs  para  rtcihir  uat 
infoonacidn  objetiva  y  complcta.  y  cl  tiempo  invertido  en  eslas  tarcat  oc 
cxccdc  lo  rar  enable 

C-A7-2:  Debe  cxistir  un  proiocolo  para  contraiacidn  dc  scrvicios  extemos.  St 
debe  comprobar  quc: 

•  Existc  el  proiocolo.  cstA  aprobado  y  *e  hace  uso  sic  <1. 

•  la  sclcccidn  del  provccdor  sc  hace  de  forma  objetiva  y  eviu  siruaciones  dc 
monopolio  pot  parte  de  un  unko  provccdor. 
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•  Hi  protocolo  incluyc  un  contrato-tipo  quo  prcvca  los  riexgos  nix  frccuentes 
cuando  sc  contratan  servicios  extern©*,  y  cn  lotto  caso  incorpora 
penal  izacioocs  cn  case  de  incumplimicnio  dc  contrato  por  puree  del  proveedor. 

•  Hi  pcrtonul  extemo  que  intervendra  cn  los  proycctos  cumplira.  al  mcnox.  k*s 
mistnos  requisites  que  sc  cxigen  a  Ion  cmplcados  del  irca 

•  Una  persona  del  irca  supervisa  cl  trubajo  rcalizado.  ccrtificdnloJo  ante*  del 
pago. 

•  Dcbc  ser  compatible  con  los  estdndare*  cstabtccidM  cn  cl  drea. 

OBJETIVO  DE  CONTROL  AS  lx  organizacidn  del  drea  dcbc  eslaf  stempre 
aliptada  a  las  nccmdadcs  dc  cada  moment©. 

C-AS-1:  lx  organi/acidn  dcbc  resixarxe  dc  forma  regular.  Sc  dcbc  comprobar 

que: 

•  Kxtslc  el  proccdiiniento  dc  revisidn.  sc  aplica  con  una  period  kisImJ  adccuada  y 
sc  adapta  al  dmamismo  dc  la  iccnotogfa  informdlica. 

•  Cuando  sc  rcduccn  modificacioncs  sc  documcnian.  incluycndo  la  fccha  dc 
actualizackfo,  y  sc  difunden  demro  del  drea. 


12.5.  AUDITORlA  DE  PROYECTOS  DE  DESARROLLO  DE  S  I 

Como  sc  planted  cn  apurtados  antcnorcs.  cada  dcsam>llo  dc  un  nuevo  sistema  dc 
atfomucidn  scri  un  proyccio  con  cmidad  propia.  HI  proyccto  lendrd  ones  objclivos 
■ire ados  y  afcclari  a  determmadas  unidadcs  dc  la  organizacidn.  Debe  lener  un 
icspcctsablc  y  ser  gesttonado  con  tdcnicas  que  permnan  conscguir  los  objclivos 
Mfcados.  icnicndo  cn  cucnta  kw  recur sos  dispomblcs  y  las  rcvthccioccs  icmporalcs 
del  mismo.  En  esa  gettidn  deben  participor  todas  las  paries  dc  la  organtzacidn  a  las 
pc  afcctc  cl  sistema. 

La  auditoria  dc  cada  proyccto  dc  dcsarrolk)  lendrd  un  plan  dislinto  dependiendo 
de  to*  riesgos.  la  complcjidad  del  mismo  y  los  rccursos  dispnnibtcs  para  rcalirar  la 
■ditcria.  llsto  obliga  a  que  scan  la  pencia  y  expcncncia  del  asditor  lax  que 
dettnainen  las  actividadcs  del  proyccto  que  sc  controlardn  con  mayor  intensidad  cn 
tincidn  dc  los  pardmetros  antcriorcs. 
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En  este  apartado  sc  definirin  objetivos  y  (Arnicas  dc  control  gcneralcs 
a  cualquicr  proyecto.  El  auditor  deetdiri  k»  objetivos  mi*  importance*  en  funofini 
las  car actec (Micas  del  proyecto  y  de  la  fasc  a  auditar. 

Como  sc  poede  observax  en  el  esquema  de  agrupacidn  Je  objetivos  de  comi| 
propoesto  en  el  apartado  3.  dentro  del  desarrollo  de  sistemas  dc  mformacidn 
propuesto  cinco  *ubdiv>*>one*.  entre  la*  cualcs  *e  encucatran:  aniltsis.  dnefcj 
constmccidn  c  implantacibn.  Estas  fases.  ampliamcnte  acepcadas  en  mgcmerii  dd 
software  para  el  desarrollo,  son  en  concreto  la*  que  propane  la  mccodologb  dr 
desarrollo  de  sistemas  de  tnformacidn  Metnca  verstdn  2. 1 . 


Ademi*  dc  estas  fases.  se  ha  aAadido  una  subdivision  que  :onlicne  los  objrtivot  j  I 
tdenkas  de  control  concern icntcs  a  la  aprobacidfl.  planificaciOn  y  gestidn  del  proyeea 
La  aprohacidn  del  proyecto  e*  un  hecho  pres  io  al  comic n/o  del  mismo.  mientras  q«r 
la  gestidn  sc  aplica  a  to  largo  de  su  desarrollo.  La  planificaciOn  se  rcalua  ante*  dc  ' 
iniciarse.  pero  sufriri  cambio*  a  mcdida  que  el  proyecto  avatua  en  el  tiempo. 

Aunque  lo*  objetivos  dc  control  sc  tun  catalogado  cn  funciOn  dc  la  fase  dd 
proyecto  a  la  que  se  aplican.  la  auditors*  de  un  proyecto  de  desarrollo  se  puede  hacti 
en  do*  mementos  distitMos:  a  mcdida  que  avanza  el  proyecto.  o  una  vet  coocluidod 
mismo.  Las  (Arnica.*  a  utili/ar  y  lo*  elementos  a  mspcccbnar.  normal menle  lot 
producto*  y  documento*  gencrado*  en  cada  fase  del  desarrolb.  serin  lo*  mismo*  a 
ambos  caso*.  La  limca  dtferencia  es  que  en  el  phmer  case  lasconclusiooc*  que  wii 
aporlando  el  auditor  pueden  afcctar  al  dcsarTollo  del  proyecto.  aunque  nuaa 
participari  cn  la  loma  dc  dccisione*  del  mismo. 


12.5.1.  Aprobaclbn,  planificacion  y  gestibrt  del  proyecto 

Se  consider  an  en  este  apartado  do*  objetivos  de  control  (sene  B): 

OBJETIVO  DE  CONTROL  Bl:  FJ  proyecto  de  desanolo  debe  estar  aprohado. 
definido  y  planificado  formalmente. 

C-Bl-I:  Debe  extstir  una  or  den  de  aprobaoOn  del  proyecto  que  dcfmi 
clara mcnic  los  objetivos.  rcstnccioncs  y  la*  unidadcs  afectadr*  Sc  debe  comprotw 
que: 

•  Ex  isle  una  orden  de  aprobaci6n  del  proyecto  refrrndada  por  un  drgan» 
competence.  El  estudio  dc  viabiltdad  debe  ha  her  segusdo  el  caucc  cstablecido. 

•  En  cl  documento  dc  aprohacidn  cstin  dcfinidos  dc  foma  clara  y  precisa  Ins 
objetivos  del  mismo  y  la*  rcstnccioncs  de  lodo  tipo  que  deben  tenerse  en 
cuenta  (temporale*.  recursos  tCcmcos.  rccurso*  humanov.  prcsupocsto.  etc.). 
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•  Sc  tun  *dcntificado  las  unidades  dc  la  organizacidn  a  las  quc  afccu. 

C-BI-2:  Debe  dcsignarse  un  responsablc  o  director  del  proyeexv  Sc  debe 
ccaprobar  qoe: 

•  La  dcsignacidn  sc  ha  lies  ado  a  cabo  tcgiin  cl  proccdimicnto  establecido. 

•  Sc  le  ha  comuntcado  al  director  mi  nombranucnio  junto  con  toda  la 
informacidn  re  lev  ante  del  proyecto. 

C'-BI-.':  El  pro)«cto  debe  ser  catalog  ad»  y.  cn  funcibn  dc  mis  carxtertsticas.  sc 
debe  dctcrminar  cl  modelo  dc  cklo  dc  sida  quc  seguir*.  Sc  debe  compnbar  quc: 

•  Sc  ha  catalogado  y  dimensionado  cl  proyccto  segdn  las  norma \  esublcodas 

•  Sc  ban  esaluado  los  nesgos  asociados  al  proyccto.  cspccialmatte  cuando  sc 
van  a  usar  tccnologias  no  usadas  hasta  cl  momenlo. 

•  Sc  ha  elegido  cl  ctclode  vida  mis  adecuadoaltipode  proyccto  deque  sc  trau. 

•  Sc  ha  hccho  uso  dc  la  informacidn  histdesca  quc  <c  disperse  lanto  para 
dimenuonar  cl  proyccto  y  mis  nesgos  como  para  select  incur  cl  ciclo  dc  vida. 

•  Sc  pres  tar  li  especial  atcncibn  si  sc  clige  un  cklo  dc  ssda  basado  cn 
prototipado.  En  cue  ease  dehen  cumpline  los  requisitos  recetanos  para 
apltcarlo  con  dxito  (dificultad  dc  los  usuarios  para  expresar  Us  requisitos  y 
disporubslidad  dc  una  hcrramknta  dc  constniccidn  ripsda  dc  prutotipos)  y 
debe  existir  un  acucrdo  con  los  usuanos  sober  el  akancc  del  prototipo  y  cl 
objctiso  quc  sc  pcrsiguc  con  cl  mismo. 

P-BM:  Una  ser  determinado  cl  cklo  dc  vida  a  scguir.  sc  debe  clegtr  cl  cquipo 
ttcroco  que  reali/ari  cl  proyccto  y  sc  dctcrmuuri  cl  plan  del  proyccto.  Sc  debe 
ocanprobar  quc: 

•  La  designation  del  director  del  proyccto  y  del  cquipo  dc  drsanollo  sc  ha 
lies  ado  a  cabo  segdn  cl  proccdimicnto  cstablecido. 

•  Los  participantcs  quc  pcrtcncrcan  a  otras  areas  (sistemav  tomumcat  tones. 
ofinvMica.  etc.)  sc  han  solscitado  segdn  cl  protocolo  cxistcntc. 

•  Si  participa  personal  extemo.  los  pcrfilcs  profesionalcs  son  aJccuados  a  las 
funcioncs  quc  van  a  realirar  El  contrato  cumplc  cl  protocolo  de  contralacidn. 
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•  Se  ha  comunicado  a  todov  lov  micmbrov  del  cquipo  dc  dcwTullo  k*  obycta 

del  proyecto.  la  revponvabilidad  que  iendran  cn  el  mivmo.  la-  fcchav  en  luqi 
paitiv  iparan  >  b  dedicacidn  (compteurparcial ).  | 

•  ti  plan  dc  proyecto  rcaii/ado  c-  lealfcua  >  uiliii  u  UteawMi  hivtdr»;» 

que  -c  dixpooga  para  tcali/ar  cvtimacioncv  j 

OH  JET!  VO  DE  COSTKOI.  H2 :  B  proyecto  vc  debe  ftiOlf  do  forma  qoci 
convigan  lot  mejorev  rcvultadov  posiblc-  lenicndo  en  cuenu  lav  rcvtncoonw  A 
liempo  y  rccurvov  Lov  crilcnov  uvadov  verin  cohcrcnlcv  eon  lov  objetivov  lit  b 
umdadev  afccladac.  j 

< -B2-I:  I  0$  rcvponvablec  dc  lax  umdadev  o  arcav afectadav  pew  cl  proyeclo dtka 
pamcipor  cn  la  gevtidn  del  proyecto.  Sc  debe  comprotur  que: 

•  Sc  ha  conviituido  formalmcntc  el  comity  dc  direocidn  del  proyeclo  y  e*  8 1 
evbn  incluidov  lot-  rccponcabtcv  de  lodav  lav  umdadev  afectadav. 

•  HI  comity  ticne  una  periodic idad  de  reunidn  minima,  y  cn  cualqincr  can 
vicinpre  que  lo  cxija  cl  devarrollo  del  proyecto.  dche  tener  eompctcncia  pin  b 
axignacuJo  dc  rccurvov.  la  revividn  dc  la  mare  ha  del  proyecto  y  para  rnafcfiev 
cl  plan  del  proyecto  en  funcidn  dc  las  revivioocc. 


•  Lav  reunionev  -e  haccn  con  un  orden  del  dfa  previo  y  lav  deemooev  lonuda 
qucdaii  documcntadas  cn  lax  actav  de  dKho  comill. 

•  HI  nilmero  de  rcunione.v  y  la  duracidn  de  lav  mivmav  no  vuperan  un  lima 
ra/onable  comparado  coo  b  envergadura  del  proyecto. 

C-B2-2:  Sc  debe  eviablecer  un  mccanivmo  para  la  rexolucidn  de  los  probletaa 
que  poevbn  pbntcarvc  a  lo  largo  del  proy  eclo.  Sc  debe  comprutar  que: 

•  Kxivtcn  hoyav  dc  regivtro  de  problcmav  y  que  hay  alguna  pervona  del  proyecto 
cncarcada  de  vu  rccepcidn.  avf  conto  un  proccdimicnto  eonocido  dr 
tramitacidn. 


•  Hay  un  mftodo  para  catalogar  y  dar  prioridad  a  lov  problcmav.  as!  como  pm 
tradadailov  a  b  pervona  que  lo-  debe  revolver,  infornundo  vi  cv  nccevario  a 
director  del  proyecto  y  al  comitl  dc  dircccidn. 

•  Sc  cootrob  b  xolucidn  del  problcma  y  ve  deja  coovtancia  de  b  nuuna. 
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C-B2-3:  Debe  etixtir  un  control  dc  cambiox  a  k»  largo  del  proye.no.  Sc  debc 
comprobar  quo: 

•  Eaixle  un  mccantxmo  para  regixtrar  lox  cambiox  que  podieran  producirxc.  av( 
como  para  cvaluar  cl  impacto  dc  lot  mixmov 

•  La  document*,  ion  afectada  xc  actuali/a  dc  forma  adccuada  y  xc  I  leva  un 
control  dc  xerxionex  dc  cada  product o,  conwgnando  la  ultima  feeba  dc 
actualizacidn. 

•  Sc  rentite  la  nueva  xerxidn  dc  lot  document  ox  actualt/adox  a  lox  participant  ex 
cn  cl  proyecto. 

C-B2-4:  Cuando  tea  nccesario  rcajuxtar  el  plan  del  proyecto.  nomulmentc  al 
S aalt/ar  un  mddulo  o  faxc.  debc  haccnc  dc  forma  adccuada.  Sc  debc  conprobor  que: 

•  Sc  rexpetan  lot  Kmitcx  temporalex  y  prexupoextanox  nurcadot  al  inicio  del 
proyecto  Si  no  ex  axi  debc  xcr  aprobado  por  cl  comill  dc  direcci in. 

•  Sc  ban  terudo  en  coenu  lot  riexgox  del  rcajuxtc 

•  Sc  ha  bee  ho  uso  dc  la  informacidn  hixtdoca  que  xc  dixponc  cr  cl  irea  xobre 
cxtimaciones. 

•  Sc  notifica  cl  cambio  a  todax  lax  perxonax  que  dc  una  u  otra  forma  parttcipcn 
en  el  proyecto  y  >c  xcan  afcctadox. 

•  Si  cxistc  un  plan  dc  xixteraas.  sc  actualicari  cn  conxccuencia 

C-B2-5:  Debc  hacerxc  un  xeguimiento  dc  lox  tiempox  empleadox  anto  por  urea 
como  a  lo  largo  del  proyecto.  Sc  debc  comprobar  que: 

•  Exisic  un  proccdinucnto  que  permita  registrar  lox  tiempox  que  cada 
participantc  del  proyecto  dcdica  al  mtxmo  y  que  tarea  realira  cncsc  tiempo. 


•  Lax  product i vidsdex  que  *c  obticncn  para  dixtmtox  empleadox  cn  lax  mixmax 
ureax  con  ximilarcx  y  extin  cn  consonancia  con  la  informacidn  hixtdnca. 

C-B2-4:  Sc  debe  controlar  que  xc  xigucn  lax  ctapax  del  cklo  dc  vida  adopudo 
ptfi  el  proyecto  y  que  xc  gcncran  todox  lox  documcntox  axociadcn  a  a  metodologia 
■utU.  Sc  debe  comprobar  que: 
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•  Antes  dc  comctuar  una  noeva  cupa  x  ha  documenudo  la  cupa  previa  s  u| 
rewtado  y  acepudo.  especial  mente  en  las  law  dc  anilitit  y  ditcAo. 

•  I  .a  document*: mWi  c  urnplc  lot  cslindares  etUblccidat  rn  el  irea. 

•  Se  fc-speta  el  plan  cstablccido  y  en  case  contrario  sc  toman  lat  aeUi 
oportunas  o  sc  precede  a  la  aprobacidn  de  una  modificacidn  del  plan 

•  Se  respeu  el  uso  de  rccursot  previamcntc  cstablccido 

C-B2-7:  Cuando  tcrmiru  el  proyecto  sc  debe  ccrrai  coda  la  documcnucita  tf 
mismo.  liber ar  lot  rccursot  cmplcadot  y  hater  balance.  Se  dele  comprohar  que: 

•  La  documcntacidn  del  proyecto  cs  complete  y  esti  oulogada  pcrfectanate 
para  acccsos  poster  lores 

•  Lot  rccursot.  unto  personates  como  matcnalcs.  sc  ponen  a  disposition  dd 
irea  o  deponamento  del  que  provieneo. 

•  Kl  comitd  de  dircccidn  y  el  director  del  proyecto  haem  balance  del  protect* 
estudtando  lot  povihles  problcmat  y  tut  cautat.  lot  cambiot  dc  plan,  at 
Toda  ctu  informacidn  e  registra  en  lot  archisxvs  hittdrkos  tobre  estimacuoa 
y  problcmat. 

•  La  nueva  apIxaciOn  sc  incorpora  al  catilogo  de  ap(i:acionet  cuslcntes  at 
toda  la  informaodn  rclevante  de  la  misma. 


12.5.2.  Auditoria  de  la  fase  de  andlisis 

La  (ate  de  aniltsit  pretende  obtener  un  con  junto  de  etpec/icacionet  focmalet  que 
de  sen  ban  las  neccvidadct  de  informaodn  que  deben  ter  cubierut  por  el  nueso  ustrau 
de  una  forma  independiente  del  entomo  t  econo 

Etu  fate  sc  divide  en  dot  mOdulos 


12.5.2.1.  Anilitit  de  Kcquititm  del  Slstema  (ARS) 

Hn  cue  mddulo  tc  nlcntificarin  lot  requisitot  del  nuevo  sistema.  Se  inchiirli 
unto  lot  requititot  functoruJet  como  lot  no  funcionalct,  dittiaguiendo  para  cada  one 
de  ellot  su  impotuncia  y  pnoridad. 


r 
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A  fun ir  del  conocimiento  del  xixtema  actual  y  un  problcmax  axociadox.  junto  con 
In  requixitox  que  xe  exigirin  al  nuevo  sixtcnu.  se  dcterminarin  lax  poxibiex 
Ktaioncc.  altcmativas  que  xatixfagan  exo»  requixitox  y  de  entre  cllax  xe  clegira  la  mix 
•Kxuda  Sc  cottxidcran  dox  obyetivox  dc  control  (xerie  C): 

OBJETIVO  DE  CONTROL  Cl:  Lox  uxuanox  y  rexponxablex  de  lax  unidadex  a 
In  que  afecta  el  nuevo  xixtema  extablecerin  de  forma  clara  lox  requixitox  del  mixmo. 

C-Cl-1:  I'n  el  project o  deben  panicipur  uxuanox  de  todax  lax  unidadex  a  lax  que 
rfcctc  (I  nuevo  xixtemu  l-.xta  pailicipacidn.  que  xc  hard  normalmenle  a  travdx  dc 
cureviiux,  tendri  expccial  importancia  en  la  defintcidn  de  requixitox  del  xixtema.  Se 
Me  com  probar  que: 

•  Hxixtc  un  documcnto  aprobado  por  el  comity  de  direccidn  en  el  que  xe 
drtcrminj  fonnalmentc  el  gnipo  de  uxuanox  que  participari  en  el  proyccto 

•  Lox  uxuanox  elegidox  coo  xuficientementc  reprexentativox  de  lax  dixtinlax 
funciooex  que  xc  lie  van  a  cabo  en  lax  unidadex  afcctadax  por  el  nuevo  xixtema. 

•  Sc  lex  ha  comunicado  a  tax  uxuanox  xu  paiticipacidn  en  el  proyccto. 
tnformindolcx  del  imbito  del  mixmo  y  de  qud  ex  lo  que  xe  expera  de  el  lox.  aci 
como  la  dcdicacibn  extimada  que  lex  supondri  exta  tarea 

C-Cl-2:  Se  dche  rcalirar  un  plan  detallado  de  entrevixtax  con  cl  gnipo  de 
kutxm  del  proyccto  y  con  lox  rexponxablex  de  lax  unidadex  afcctadax  que  permita 
cooxer  ctStno  valorem  el  xixtema  actual  y  lo  que  experan  del  nuevo  xixtema.  Se  debc 
noprobar  que: 

•  Exixtc  un  plan  conxenxuado  con  el  comity  de  direccidn  que  detalla  para  cada 
entrevnta  la  fccha.  bora  y  lugar.  tipo  de  entrevixta  (individual,  en  gnipo,  por 
excrito.  etc.)  y  un  guidn  de  lox  axpectox  que  en  cl  la  xc  (ratarin. 

•  Se  entrevixta  a  todax  lox  integramex  en  cl  gnipo  dc  uxuanox  y  a  todos  lox 
rexponxablex  dc  lax  unidadex  afcctadax. 

•  Se  remite  el  guidn  a  lox  entrevixtadox  con  t tempo  xuficteme  para  que  dxtox 
puedan  preparar  la  entre  vista  y  la  documcntacidn  que  dexcen  aporiar  a  la 
tmxma. 

•  El  guidn  incluyc  todax  lax  cucxtioncx  nccexariax  para  obtener  informaetdn 
xobre  lax  funcionex  que  cl  entrevixtado  reali/a  en  xu  unidad  y  lox  pmMcmax 
que  necexita  revolver. 


Una  vc l  documentadas  Us  cntrevistas,  vc  contrastan  lav  cooclusiones  dc  la 
mismas  con  lex  emresistado*. 

C-Cl-J:  A  partir  dc  U  information  obtenida  en  Im  cntrevistas.  s<  drtc 
documentar  el  sisienu  actual  asf  como  los  peoblcmas  asociaios  al  misroo.  Sc  defce 
ohtener  tambrdn  un  cauUogo  con  los  requisites  del  nuevo  sistema.  Sc  debe  comproter  • 
que: 

•  Sc  ha  rcalizado  un  modclo  ffsico  del  sistema  actual,  ircluyendo  los  objttivoty 
funciones  de  cada  umdad.  asf  como  sus  flujos  tie  entrada  y  saliili  dr 
informacidn. 

•  Se  han  caialogado  los  problems*  del  sistema  acttal  asf  como  que  nu 
problems*  son  reales. 

•  Sc  han  reali/ado  el  modclo  kSgrco  de  datos  y  cl  modc'o  lOgico  de  procesm  dd 
sistema  actual,  asf  como  que  dstos  son  concerns  y  q«e  se  ban  llevado  a  cite 
con  las  tCcnicas  usadas  en  el  ires. 

•  Esi sic  cl  catilogo  de  requisite**  que  cstin  justificadov 

•  Los  requisitos  son  concrctos  y  cuantificablcs.  dc  forma  que  puedi 
detcrminarse  el  grade  dc  cumplimicnto  al  final  del  prcyecto. 

•  Cada  requisite  ticnc  una  pnoridad  y  csti  clasifictdo  en  funcional  o  » 
funcional. 

•  El  catilogo  dc  requisitos  ha  sido  revisado  y  aprobodo  por  cl  grupo  dc  usiuna 
y  por  el  comild  dc  direcciAn.  constituycndo  a  panir  de  cste  nvomcwo  d 
"contralo"  entre  Cslos  y  el  cquipo  que  dexarrotU  cl  proyccto. 

C-CI-4:  Debe  existir  un  pcocedimiento  formal  para  registrar  cambtos  en  Im 
requisitos  del  sistema  por  pane  de  los  usuarios.  Se  debe  oomfrobar  que: 

•  El  pcocedimiento  existc  y  cstA  aprobudo. 

•  Es  coherentc  con  el  procedimiento  de  control  del  cambio  general  pm  d 
proyccto. 

OBJETIVO  DE  CONTROL  C2:  En  el  proyccto  de  desanollo  sc  utili/ari  U. 
altemativa  mis  favorable  para  conseguir  que  el  sistema  cuinpla  los  requisites. 
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C-C2-I:  Dados  los  rcquisilos  del  nucvo  sistema  sc  del>en  delink  Us  difcrcntcs 
dkmaiivat  de  corvstruccidn  con  mis  venujat  c  inconscnientes.  Sc  cvaluarin  Us 
diemaiivas  y  sc  sckcoonari  U  mis  adecuada  Sc  debc  comprohar  quc: 

•  Existe  un  documcnto  cn  cl  quc  sc  dcscnbcn  Us  distintas  altcmativas. 

•  Hay  mis  dc  una  alternate  a.  y  en  case  cuntrano.  quc  no  existe  realmente  otra 
posibk. 


•  Cada  alternate  a  csti  dcscriu  desde  un  punio  dc  vista  Idgico  (a)  mcnos  modclo 
Idgko  dc  proccsos)  y  cs  cohcrcntc  con  los  rcquiutos  estabkeido*. 

•  Si  existc  cn  cl  mcrcado  al  un  producto  quc  cumpU  con  unas  mini  mas  garantias 
los  rcquisilos  cspccificadov  una  <k  Us  altemativas  debe  scr  su  compra. 

•  Si  no  lo  imptden  Us  caraclerfsticas  del  proycclo  una  dc  las  altcmativas  debe 
scr  cl  desarrollo  del  sistema  por  parte  dc  una  empresa  externa. 

•  Sc  han  cvahiado  Us  ventajas  e  inconvcnicntcs  dc  cada  allcmaliva  dc  forma 
objetiva  (anilisis  costc/bcncficio  por  cjcmplo).  asf  como  los  riesgos  asociados. 

•  El  cornu*  dc  direction  ha  sclcccionado  una  altemativa  como  la  mis  ventajosa 
y  cs  realmente  U  mejor  para  U  organiracidn. 

C-C2-2:  La  actualizacidn  del  pUn  dc  proycclo  seguiri  los  crilerios  ya 


IUU  Especificacidn  Kuncional  del  SKtema  (KFS) 

Una  sc/  conocido  cl  sistema  actual,  los  rcquisilos  del  nucvo  sistema  y  la 
ibereativa  dc  desarrollo  mis  favorable,  sc  cUborari  una  cspccifkacidn  funcional 
dtialUia  del  ustema  quc  sea  cohcrcntc  con  lo  quc  sc  espera  dc  <1. 

La  paiticipacidn  dc  usuarios  cn  csic  mddulo  y  la  reali/acidn  dc  entrevistas  siguen 
las  punas  ya  espccificadas  cn  el  anilisis  dc  rcquisilos  del  sistema.  por  lo  quc  sc  pasa 
por  alto  la  comprohacidn  dc  estos  aspect  os  HI  gropo  de  usuarios  y  los  respor  sables 
<fc  las  unadadcs  afccladas  deben  scr  la  principal  fuente  dc  tnformacidn.  Sc  consider/ 
on  tako  objetivo  dc  control  (scric  D): 
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OB  JET!  VO  DF.  CONTROL  Dl:  El  nuevo  sislenu  dcbc  cspcnfK'jnt  dc  (oqJ 
complcta  desdc  cl  punto  dc  vista  funcional.  concando  esta  cspccilkacida  con  fl 
aprobuodn  dc  lot  usuario*.  <1 

C-DI-I:  Sc  debc  reali/ar  un  modclo  Idpico  del  noevo  uilcma.  induyeafe  1 
Modclo  laSgico dc  Proecso*  (MLP)  y  Modclo  Ldgko  dc  Datos  (MLD).  Ambos  detail 
scr  consolidation  para  garantirar  mi  cohcrcncia.  Sc  slcbe  comprobor  quo: 

•  Sc  ha  ponido  dc  los  modclos  rcalizados  cn  cl  anilide  dc  requisito*  del  sisteaa 

•  E.sistc  cl  MLP.  sc  ha  realizado  con  la  tdenieu  adccuada  inonrulnce* 
diagram**  dc  flujos  dc  datos)  y  ci  coctccIo  tdcnicamcntc.  Descnbiti  qud  drtt 
realixar  el  sistema  sin  enuar  cn  la  forma  cn  que  lo  hard  Los  procooi 
ntanualcs  deben  esur  difcrcnciados.  lass  usuario*  dehen  calender  In " 
convenciones  dc  slmbolos  u  sad  as. 

•  En  cl  diagram*  dc  contcxtu  eslin  rellejados  todos  los  agentes  e  Metre* 
incluidos  oiros  sisicinas  con  los  que  cl  si  sterna  intcrcambia  informacido.  Pw 
cada  flu  jo  dc  datos  dc  entrada  o  dc  salida  debe  evtar  documcniads  d 
contcnido.  la  frccucncia.  succso  que  lo  origin*,  dc. 

•  I- aisle  cl  MLD.  sc  ha  realizado  con  la  tdemea  adccuada  <  normalmcntc  nxdeb 
entidad-rclacidn  o  diagranvas  dc  cstruclura  dc  datos)  y  e*  correct) 
kcnicamente  Debc  estar  normali/ado  al  menos  hasta  la  tcrccra  forma  nonag 

•  En  cl  MLD  cstin  rcflcjadas  todas  las  cnlidadcs  con  sus  atributos  y  claves.  al 
conto  las  relacioocs  entre  la*  mismas. 


El  MLP  y  el  MLD  son  cohcrcmcs  entre  si.  La  consolidacidn  sc  debc  haw 
usando  tbcnicas  adccuada*  (HiMoria  dc  la  vida  dc  las  cnlidadcs.  por  cyemploi 

El  MLP  y  cl  MLD  han  sido  aprohados  por  los  usuarios  y  por  cl  cotratf  it 
dircccidn. 


C-DI-2:  Debc  existir  cl  diccicmario  dc  datos  o  repository.  Sc  debc  comprotar 

•  Existc  cl  diccionano  dc  datos.  e*  corrccto  y  sc  gestiona  de  form 
automali/ada. 


Sc  respetan  cn  su  gestidn  todos  los  proccdimicmos  dc  control  dc  cambios. 
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C-DI-3:  Dchc  dcfinirtc  la  forma  cn  que  cl  nucvo  tittcma  intcractuart  coo  lot 
dmiacot  usuanov  ft\u  Ct  la  parte  mit  important  para  cl  usuario  porque  definirt  tu 
fcma  dc  trabajo  coo  el  ti  sterna  Sc  dchc  comprobar  que: 

*  Sc  han  dcscrito  con  tuficicnic  dcullc  lat  puntallas  a  traces  iic  lax  cualct  cl 
usuario  navegart  pur  la  aplicacidn.  incluycndo  todos  lot  tampot 
tignificativat.  lecUt  dc  funcidn  dispomhlct.  mcniit.  hot  ones,  etc.  Si  hay 
norm.it  dc  dive  (Vo  o  ertilo  dc  panullat  cn  cl  irca.  sc  vcrificart  que  sc  respetan. 

*  Sc  han  dcscrito  con  suftciente  detallc  lot  informc*  que  sc  obiendrtn  del 
ustema  y  lot  formulariot  atociados.  ti  Cstos  cxiticn.  Si  hay  normat  dc  discflo 
o  cttilo  dc  informes  y  formulanos  cn  cl  area,  tc  vcrificart  que  sc  respetan 

*  La  interfaz  dc  utuario  tc  ha  aprobado  por  el  grupo  dc  utuariot  y  per  cl  comitd 
dc  dircccidn. 


C-DI-4:  La  ctpccificacidn  del  nucvo  tittcma  incluirt  lot  requisites  dc  segundad. 
itoiauento,  copiat  dc  seguridad  y  rccupcracidn.  etc.  Sc  debe  comprohar  que: 

•  Etta  informacidn  tc  ha  solicitado  a  lot  utuariot  cn  lat  cMrcvitUt 
corrctpundicnict  a  esie  roddulo  y  sc  ha  documcntado  y  contrattado. 

•  Sc  han  aAadido  etiot  rcquitiiot  al  cartlogo  dc  requivitot  ya  rcalizado  cn  el 
ARS 


C-DI-5:  Sc  deben  etpccificar  lat  pruebat  que  cl  nucvo  tittcma  dchc  superar  para 
W  Kept  ado  Sc  debe  comprobar  que: 

•  Sc  ha  claborado  cl  plan  dc  pruehas  dc  accptacidn  del  tittcma.  que  dsie  ct 
cobcrcntc  con  cl  cartlogo  dc  requivitot  y  con  la  etpccificacidn  funcional  del 
tiitcma  y  que  e*  accptado  por  el  grupo  dc  utuariot  y  por  cl  comitd  dc 
dircccidn. 


•  FJ  plan  dc  pruebat  dc  accpucidn  liene  en  cucnta  todot  lot  rtcurxot  nccctanot. 

C-DI-b:  La  actualrzacidn  del  plan  dc  proyccto  teguirt  lot  cntcrios  ya 
camcidos.  dctallindosc  cn  esie  punto  en  mayor  medida  la  entrega  y  tranticidn  al 
■cto  tittcma. 


www.FreeLibros.me 


fU  Xl'DITOttU  ISHUtMAIIO 


ex  Kxmqct  Hurnro 


12.5.3.  Auditoria  de  la  fase  de  diseno 

En  la  fase  de  dive  60  se  eUborari  el  conjunto  <le  cspeciftcactooes  fisicas  del  eocvt 
sistema  que  scrvirin  de  base  para  la  construccidn  del  mismo.  Hay  un  ikitco  m6dukr. 


II5J.I.  liiscno  Tccnico  del  Sivtcma  (DTSt 

A  panir  de  las  r\  pec  ificac  tones  funcionalcs.  y  tcniendo  en  coenta  cl  catena 
tccnoldgico.  se  discAari  la  arquitcctun  del  sistema  y  el  esquema  extento  de  dates  St 
considcra  un  tinico  objetivo  de  control  tscric  E>: 

OBJETIVO  DE  COSTROL  Eh  Se  debc  defmir  una  arquitcctun  ffsica  pari  d 
ustema  cohe rente  con  la  cspecificacibn  funcional  que  se  tenga  y  con  el  cMoro 
tecnoldgico  elegido. 

C-El-1:  El  entoroo  tccnoldgico  debc  estar  defimdo  de  forma  clan  y  set 
coo  forme  a  los  cstindarcs  del  depart*  me  nto  de  informitica  Se  debe  comprobar  que 

•  Estin  pcrfcctamcnte  definidos  todos  los  elementos  que  configuran  el  entono 
tccnoldgico  pan  cl  proyccto  (servidorev  computadorc*  persoeules, 
penfCtKos.  vislcmas  operatives,  concxiones  de  red.  protocolos  dt 
comunicacidn.  sistemas  Restores  de  bases  de  da! os.  compilations, 
hemmientas  CASE.  muUlrvrare  en  caso  de  programacirin  clicntc/servidot. 
Iibtcrias.  etc.). 

•  Se  dispone  de  los  elementos  selecckmadov  estin  dentro  de  los  cstindarcs  del 
departamento  de  informitKa  y  son  capaccs  de  responder  a  kxs  requisitot 
estaMecido*  de  sol  lit  nerves,  uempos  de  respucsta.  segundad.  etc. 

C-EI-2:  Se  deben  tdentificar  todas  Us  actividades  fisicas  a  reali/ar  por  el  usiema 
y  descomponcr  las  nusmas  de  forma  modular.  Sc  debc  comprobar  que: 

•  Se  ban  document  ado  todas  las  actividades  ffvicas  que  debe  rrali/ar  el  sistema 

•  El  catilogo  de  actisidades  es  cohcrcnte  con  las  funcioncs  identificadas  en  d 
MLPdd  mAdulo  EPS. 

•  Se  ban  tdentificado  las  actividades  que  son  comuncs.  asf  cotno  Us  que  y* 
cxistan  en  las  librcrus  generates  del  area 

•  Existc  el  documcnto  con  cl  disefio  de  la  estructura  modular  del  sistema.  se  hi 
real i /ado  con  una  teensca  adecuada  (Diagramas  de  estructura  de  cuadros  pot 
ejcmploi  y  es  corrccto. 
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•  El  tamaAo  dc  los  mddulos  cs  adccuado.  cl  factor  de  acoplamicnto  entre  ellos 
cs  mimmo  y  la  cohesion  interna  dc  cada  mddulo  es  maxima 

•  Los  mddulos  sc  divert  an  para  podcr  scr  usados  per  otras  » plicae  ioocs  si  fucra 
ncccsario. 

•  Los  componcntcs  o  program**  del  nuevo  sistema  sc  han  definido  con  dctalk  a 
partir  del  discAo  modular,  la  defmicidn  cs  corTccta  y  sigue  los  estindares  del 
irea.  La  description  de  los  componcntcs  e%  suficientc  para  pcrmilir  su 
programacidn  poc  pane  sic  un  programador  sin  conocimiento  previo  del 
sistema.  Sc  deben  cspcciftcar  los  requisite*  dc  operaci6n  tie  los  componcntcs. 

•  Sc  han  deullado  las  interfaces  dc  datos  y  control  con  otrs*  mddulos  y 
sistcina*,  a*(  como  la  interfa/  de  usuano  ya  cspccificada  cn  cl  mddulo  EPS. 

C-EI-3:  Sc  debc  divcrtar  la  cstnictura  ffsica  de  datos  adaplando  las  cspcci- 
(ka;  tones  del  sistema  al  entorno  trcnoldgico.  Se  debc  com  probar  que: 

FJ  model*  fisico  dc  datos  csta  basado  en  el  MLD  obtemdo  en  cl  mdslulo  EFS  c 
incluyc  todas  las  entidades.  relatione*,  claves,  vistas,  etc. 

Tiene  en  cuenta  cl  entorno  tccnoldgko  y  los  requisites  dc  rendimiento  para  Is* 
KWmcnc*  y  frecucncias  dc  acccso  estimado*- 

St  incluyc  algtin  incumplimicnto  dc  las  nomias.  esti  juslificada. 

C-EI-4:  Sc  debc  disc  Aar  un  plan  dc  prueba*  que  permit*  la  vcrificacidn  de  los 
futintos  componcntcs  del  sistema  por  separado.  asf  como  cl  funcionarmcnto  sic  los 
dflmtos  subsislcmas  y  del  sistema  cn  conjunto.  Sc  debc  comprobar  que: 

•  Ex  isle  el  plan  dc  pmebas  y  contcmpla  todos  los  rccursos  ncccsarios  para 
llcvarlas  a  cfccto. 

•  Las  personas  que  rcalirarin  las  pruebas  dc  vcrificacidn  son  distintas  a  las  que 
han  dcsanrssllado  cl  sistema. 

•  Es  adccuado  para  validar  cada  uno  sic  los  componcntcs  del  sistema. 
mcluycndo  pruebas  del  tipo  caja  blanca  para  cada  mddulo.  Tcndrdn  en  cuenta 
todas  las  posibles  condicioncs  IsVgicas  de  ejccuckSn.  ademis  dc  posibtes  f alios 
del  hardware  o  software  dc  base. 


Pemute  validar  la  intcgracido  dc  los  distintos  componcntcs  y  el  sistema  cn 
conjunto. 
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C-Kl-5:  La  actuah/acwVn  del  plan  de  proyecto  vcguira  Ion  cntenca 
comenudos. 


12.5.4.  Audltoria  de  la  fase  de  construccidn 

En  cMa  fate  nc  prograinanln  y  prcbanin  Ion  distiniON  component  y  «  poetMi 
cn  maiclva  UmIon  Ion  proccdimicnUn  necevarioN  para  qoc  Ion  iimudon  pocdan  tra-Nigr 
con  cl  nucvo  sistema  board  Kivado  cn  la*  CNpecificacioncs  flticaN  obtcmdas  ca  'a ; 
f*NC  dc  tiiNcflo.  Hay  dos  mddulm 


12.5.4.1.  DcNarrollo  dc  Ion  ComponmCcN  del  Sl«trma  (DCS) 

bn  cnjc  mOdulo  *c  rcali/ardn  Ion  diOiMON  componentry  v  prohjran  uot  > 
individualmcMc  como  dc  forma  integrada.  y  nc  dcNarrollaran  Ion  proccdimtcMM  dt 
operacibn.  Sc  coiutdera  un  ilnico  objetivo  dc  control  (tcric  Fl: 

OBJETIVO  PE  CONTROL  Ft:  Un  component  o  mdduloN  deta 
dcNanollatNC  uxando  tCcroca*  de  programaciOn  corrcctac 

(‘•KM;  Sc  debe  preparar  adccuadamcmc  cl  cnlomo  dc  dcvarrollo  y  dc  pruchn. 
ad  como  Ion  proccdimtcnloN  dc  operacibn.  aniCN  dc  iniciar  cl  dcNanollo.  Sc  drt* 
comprohar  que 

•  Sc  Kan  creado  c  inkuli/ado  Un  Kincn  dc  da»o\  o  archivoN  ncccNanm  y  qgc 
cumplcn  las  CNpeofkaoonc'  rcali/adac  cn  cl  mbdulo  dc  diNcfto 

•  En  mngun  momento  nc  troboya  coo  informaciOn  que  *c  cncucntn  a 

cxploucMn. 

•  Sc  han  preparado  Ion  ptoccdimicntON  de  copia  dc  seguridad. 

•  Sc  han  preparado  Ion  nlioic',  vumplaKiitN,  liciiaiiiicMlav  cU.  mxcMiiun. 

•  E'tin  divpomblcN  Ion  puccioN  dc  trahayo  y  cl  acccso  a  Ion  cquipoN.  redes,  dc. 

•  boin  disponiblcs  lodos  tos  ckmcntON  IbgicoN  y  risicos  para  reali/ar  tas 
pruebaN  unitan  as  dc  Ion  componcolcs  y  las  pruebas  dc  inlcgracibn. 


Esjin  documented  os  toden  Ion  proccdimicntON  de  operacibn  para  cuando  d 
NiNtema  eNte  cn  caplotacibn 
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C-Fl-2:  Sc  debe  programar.  probar  y  documentor  cada  uno  dc  loc  components 
destificados  cn  cl  diseflo  del  sislcma.  Sc  debe  comprobar  que: 

•  Sc  han  dcsarrotlado  todos  to*  component*  o  mddutov 

•  Sc  lun  scguido  to*  cstindarc*  de  programacton  >■  documcnlacidn  del  drea.  el 
eddigo  c*  cstructurado.  estf  bicn  sangrado  y  conticnc  comentano*  suficicntc*. 

•  Sc  ba  probado  cada  component  y  *e  ha  gcncrado  cl  informe  de  prueha.  Si  In* 
resultado*  dc  lax  prueha*  no  son  satisfactono*,  >e  modifka  el  eddigo  y  sc 
vnelvc  a  rcali/ar  la  proebu  Si  *c  dctccta  un  fallo  de  cspccificacion  o  disefto. 
el  proyccto  sc  actuali/ard  segdn  cl  pnxedirmento  cstablccido  para  ello. 

C-H-3:  Dcbcn  rcali/arsc  las  pruebjs  dc  iMegr-acidn  para  asegurar  que  las 
amface>.  entre  to*  components  o  modulo*  funcionan  corrcciamenic.  Sc  debc 
oonprobarque: 

•  Las  pruebas  dc  mtegracidn  »c  han  llevado  a  cabo  segdn  to  especificado  en  cl 
plan  de  pruebas  rcaliudo  en  el  mriduto  de  discAo. 

•  Sc  han  cvaluodo  las  pmeba*  >•  sc  han  tornado  la*  accione*  correctora* 
nccesaha*  para  solsenur  la*  incidcncia*  encontrada*.  actuali/iindose  el 
proyccto  en  consecuencia. 

•  No  lun  participado  to*  usuano*.  Hn  la*  pnieba*  de  integracidn  sdlo  debe 
panicipar  cl  cquipo  de  dcsarrollo. 


ILLU.  Dcsarrollo  dc  lo*  I'rocedimiento*  de  I'uaarto  (DPU) 

Ea  cslc  modulo  *c  dc  linen  lo*  proccdimicnto*  y  focmacxto  nccesahos  para  que 
lot  ewariot  puedan  utili/ar  cl  nuevo  *i*tcma  adecuadamcnte.  l-'undamcntalmcntc  sc 
tnu  dc  la  instalacidn.  la  convcrsidn  dc  dato*  y  la  opcracton/cxptotactoa.  Sc  considers 
■  toico objetivo  de  control  (trie  G>: 

OBJETIV'O  DE  CONTROL  Cl:  Al  termino  del  proyccto.  to*  futuro*  usuano* 
deben  e*lar  capacnados  y  divponcr  dc  todo*  to*  medio*  para  haccr  u*o  del  si  sterna 

C-GI-I:  LI  dcsatTollo  de  lo*  componcnte*  de  uvuario  debe  cstar  planiftcado.  Se 
debe  eoenprohar  que: 

•  En  el  plan  del  proyccto  csti  incluklo  cl  plan  para  el  desairolto  <Jc  los 
proccdinucntos  dc  usuano  c  incluyc  todas  las  actividadc*  y  recur  so* 
nccesahos 
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•  Lot  procedimieniot  tc  Dew  j  cabo  dctpikt  dc  icncr  la  etpocifiaad 
funciooal  del  uticma  y  ante'  dc  U  implantacidn  del  mtmo 

C4M:  Se  dehen  ctpccificar  lot  perfilet  dc  UMuno  requendot  pm  el  mm 
uticma  Sc  debe  comprobar  que: 

•  bMin  dcfimdot  lot  diuiniot  perfilet  de  utuaro  requendot  pm  % 
implantacidn  y  etplotacidn  del  noevo  title  ma. 

•  Par*  cada  pcrfil  tc  ha  defmido  el  rango  de  fechat  y  la  dedicacido  nccetaha 

C-GI*J:  Se  deben  detarrollar  lodot  lot  procedi mieniot  Je  utuano  coo  arreffci 
Ion  etiindaret  del  irca.  Se  debe  comprobar  que: 

•  Etiin  devarTolUdot  lodot  lot  procedimieniot  d:  utuario.  reccptUto 
formando  el  manual  de  utuano.  y  too  cohe rente-,  con  lat  actividadet  detchm 
en  EFS. 

•  Cada  procedimiento  detcribe  claramentc  qu<f  real ■ /a.  el  pcrfil  de  utum 
atociado.  ati  como  lot  recunot  que  ton  nccctanot  (equipot.  conuunibfc*. 
peril  tricot  ctpccialcs.  ctpacio.  eic.  j. 

•  Lot  man  ua let  de  utuano  y  el  reslo  de  proccdunknlot  cumplen  lot  etUndara 
del  Urea  y  I  lev  an  atociado  tu  control  de  veroones. 

C-GI-4:  A  partir  de  lot  perfilet  actualet  de  lot  utuantt.  tc  deben  defaur  Vs 
procetot  de  formackn  o  tclecctdn  de  pertonal  nccctanot.  Se  debe  comprobar  que 

•  La  comporacidn  de  perfilet  de  utuanot  y  rveurtot  requendot  coo  lot  aduala 
et  realitu  y  lot  procedimieniot  que  tc  den  t  an  ion  adccuadot  y  etda 
aprobadot  por  lot  retpontaMet  de  lat  umdadet  afcctadat. 

•  Ijot  procedimieniot  de  formacidn  cttAn  individual iradot  y  tc  adapian  a  cadi 
pertona.  y  te  le  ha  comunkado  a  cada  utuario  cl  plan  de  formation  qoe 
tefuiri. 

•  Se  han  defmido  y  preparado  lot  recunot  nccctanot  pm  impartir  la  formacite 
(aulav.  mediot  audiovitualct.  material  para  lot  a ti  tiro  let.  tutonalev  etc.). 

C'-<il-5:  Se  deben  definir  lot  recunot  maienalct  nccctanot  para  el  irabajo  de  ka 
utuanot  coo  el  nueto  uticma.  Se  debe  comprobar  que: 
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Sc  ban  dcterminado  los  rtoursos  ncccsarios  para  cada  uxuario  (consumibles. 
pcnfdrtcox  especiales.  espacio.  etc.). 

Se  ban  comparado  con  lew,  recunos  existentex  >  ve  ha  planiftcado  el  alquilcr. 
leasing,  adquiskidn.  etc.  de  los  rtcursos  no  disponiblcs  dentro  dc  pUzo. 


12.5.5.  Auditoria  de  la  fase  de  implantacidn 

En  csta  fate  se  rcali/ara  la  aceptacidn  del  siMcma  par  pane  dc  los  usuarios. 
idrmis  de  las  actividadex  necexiriis  para  la  pucsta  en  marcha.  Hay  un  dnico  mddulo: 


IL&S.1.  Pnirtms.  Implantacidn  y  Aceptacidn  del  Sistema  (PIA) 

Se  vchficari  en  este  mddulo  que  el  m sterna  cumplc  con  los  requisites 
ejtiblecidos  en  la  fase  de  anilisiv  Una  vet  probado  y  aceptado  se  pondri  en 
cxftotacido.  Se  consxieran  dos  objetivos  de  control  (sene  H >: 

OB J FT  1  VO  DE  CONTROL  HI:  FJ  ustema  debc  ser  aceptado  formalmentc  por 
lot  usuanos  antes  de  ser  puexto  en  cxplotacido. 

C-Hl-1:  Se  dehen  rcalizar  las  peuebas  del  si  sterna  que  se  espec'ifi  caron  en  el 
ifcsedo  del  mismo  Se  debe  comprohar  que: 

•  Se  prepara  el  entomo  y  los  recursos  necesanos  para  teali/ar  Us  pruebat. 

•  Las  pruebas  se  rcali/an  y  pcrmiicn  sertficar  si  d  sistetna  cutnple  las 
espcciftcacioncs  funcionalcs  y  si  interact  da  correetamente  con  cl  entomo. 
incluyendo  interfaces  con  ottos  program**.  recuperacidn  ante  f alios,  copias  de 
seguridad.  tiempos  de  respuesta.  etc 

•  Se  ban  evaluado  los  rcsultados  de  las  p  rue  his  y  se  ban  tornado  Us  accioncs 
correct  oris  necesariis  para  solventar  Us  incidencias  encontradas. 
aciuali/dndosc  el  proyecto  en  consccuencia. 

IC-lll-2:  El  plan  de  implantacidn  y  aceptacidn  se  debe  revisar  para  adaptarlo  a 
b  tituaodn  final  del  proyecto.  Se  debe  contprobar  que: 

•  Se  revisa  cl  plan  de  implantacidn  original  y  se  documents  adecuadamcme. 

•  KstS  inclukU  la  instalaodn  de  todos  los  componentes  dettarrollados.  as(  como 
los  clement  os  adicionales  (libretfas.  utilidadcs.  etc.). 
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Incline  la  iniciali/acidn  de  dates  y  la  comcrtidn  s»  e*  nccesana 

Kspccifica  lot  recurxot  necetariot  para  cada  actmdad.  asf  como  que  d  oeda 
marcado  para  lax  activxladcx  cs  compatible 

Se  ha  tentdo  en  cucnta  la  informactbn  hittdrica  sobre  cxlimacionct. 


('•111-3:  El  sisicma  debe  ser  accptado  pot  los  usuanos  antes  de  ponenc  a 
exploucidn.  Se  debe  comprobar  que: 

•  Sc  tigue  el  plan  de  pruehax  de  accptacion  aprobado  en  la  fate  de  anilitu.  qv 
debe  incluir  la  cont'erudo  de  datot  y  la  explotacidn 

•  Lat  pruebat  de  accptacibn  too  realiaadat  pot  lot  utuanox. 

•  Sc  cvaliian  lot  rcsultados  de  lat  pniebat  y  te  tun  tornado  tat  accxm 
corrcetoras  ncccsariat  para  tolventar  lat  incidenciat  cncoeoata, 
actual  irindose  cl  proyccto  en  consccuencu 

•  EJ  gnipo  de  usuariot  y  el  comitd  de  dircccibn  firman  tu  conformidad  con  la 
pruebat  de  accptacidn 

OBJETIVO  DE  CONTROL  H2.  El  tiuema  »c  poodri  en  cxplotanfe 
formalmente  y  patari  a  cm  at  en  manicninuento  tdlo  cuando  haya  sido  accptado  y  cut 
preporado  todo  el  cniomo  en  el  que  te  ejccutanL 

<‘•112-1:  Sc  deben  inttalar  todot  lot  procedimientot  de  expiotaetdn.  Se  deh 
cornprobur  que: 

•  Se  han  inttalado  adeinit  del  tiuema  principal  todot  lot  proccdimieMM 
auxiliaret.  por  ejempio  coplat,  recuperactdn.  etc.,  unto  inanualet  como 
MitomdtictM. 

•  Estan  documentadot  de  forma  corrccta. 

•  I  .os  usuariot  han  rccibtdo  la  tormacidn  neccsaru  y  lienen  en  tu  podcr  tod*  It 
documcntacibo  nccesana.  fundamental mente  manualet  de  utuario. 


Se  ban  elimmado  procedimleraot  anhguot  que  scan  incompatible*  con  HI 
nucvo  tistcma. 
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f-112-2:  Si  cxivtc  un  M'tctnj  annguo.  cl  sistcma  nucvo  se  pondrl  cn  cvplotacion 
de  forme  coordmada  con  U  retired*  del  annguo.  migrando  lov  darns  si  cs  ncccvario. 
Sc  debe  eomprohar  que: 

•  Ha>  un  pen'odo  dc  funoonamiento  cn  paraklo  dc  to*  dos  vivtcmas.  hasta  que 
cl  nucvo  vistema  evtC  funciooando  con  todav  lav  garantfav  Evta  vituacion  no 
debe  prolongarvc  mis  nempo  del  ncccvario. 

•  Si  cl  vivtcnu  anliguo  ic«i  manlcncT  para  obtener  informacidn  vc  debe  dejar 
cn  cxpfotacioa  cn  modo  dc  vdlo  con  suits 

•  Ian  dalov  sc  convicrtcn  dc  acucrdo  al  ptivedinucnto  dcvanolbdo  y  »e  vcrifica 
la  conxivtencia  dc  la  informacidn  entre  cl  vivtcnu  nucvo  y  cl  anliguo 

CMI2-J:  Debe  firmarve  cl  final  dc  la  implantacidn  pot  pone  dc  los  uvuariov.  Sc 
debe  cotnprobar  que: 

•  Extvtc  cl  documenio  v  que  ha  v»do  firmado  por  cl  comild  dc  direccidn  y  poe  el 
grupo  dc  usuariov. 

•  Conticnc  dc  forma  explicits  la  accptacidn  dc  la  implanlacidn  cniTccta  del 
viuema. 

C-H2-4:  Sc  debe  supervivar  el  trabayo  dc  k>v  usuariov  con  cl  nucvo  vivtcma  cn  lav 
praxras  vcmanav  para  eviur  situacioncv  dc  abandono  dc  uvo  del  sivtctna.  Sc  debe 
cenprobar  que: 

•  El  indicc  dc  utilizacida  del  vivtcma  cv  adccuado  a  lav  volilmenc*  que  vc 
cvpcrabun  para  cada  una  dc  lav  areas  afcctadav  por  cl  nucvo  vivtcnu. 

•  Se  ha  comprobado.  al  menus  informalmcntc,  la  impresidn  dc  los  uvuariov 
rcvpccio  al  nucvo  vivtcnu. 

C-H2-S:  Para  ternimar  el  (X.tyccto  a*  pondri  en  march*  el  meemiuno  Jo 

Btaieeinucnto  Sc  debe  eomprohar  que: 

•  El  mcvanivmo  cxivtc  y  evil  aprobado  por  cl  director  del  project o.  por  el 
comitl  dc  direccidn  y  por  el  irca  dc  mantcninMcnlo.  *i  bsta  cxislicvc. 

•  Tiene  cn  cucnta  lov  i tempos  dc  rcvpucvta  mlximov  que  sc  pueden  pcnmtir  ante 
vituackmcs  dc  no  funciooamicmo. 
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El  proccdimiento  a  scguir  ante  cualquicr  problems  o  para  cl  mantcnimkM 
del  uvtema  serl  conocido  por  todos  los  usuarios.  Incluirl  al  menot  la  perwea 
de  contacto.  teldfono.  esquema  dc  la  informacidn  a  aportar.  ere. 


12.6.  CONCLUSIONES 

A  pes.tr  de  ver  una  dc  la*  actividade*  principales  dc  la  infonnilka.  cl  de tarred# 
dc  software  no  ha  conscguido  alcanrar  dc  forma  general  uno*  parlmctros  de  cal&j 
accpuMcs.  Estc  hccho,  untdo  a  la  naturalc/a  especial  del  software  y  su  Afici 
validacidn.  convierten  al  proceso  dc  detarrollo  y  su  cstandarizacidn  en  la*  clave*  pa 
cambiar  la  situacidfl. 

Todas  la*  actividade*  que  configuran  cl  proccto  dc  desarrollo  tienen  la  mum 
importancia  a  la  hora  de  reali/ar  la  auditorfa.  poet  aunque  sc  poeda  pentar  que  h 
activsdad  ml*  importante  c*  la  programaetdn.  sc  ha  demotirado  que  lot  errort*  en  In 
actividade*  initiates  dc  los  proyectot  son  mi*  coslotos  que  lot  que  sc  producen  a! 
final  de  lot  tnismos. 

Por  otra  parte,  no  parcce  Idgico  que  lot  proccto*  in  voltxrado*  cn  cl  detarrollo  de 
software  *e  ettandanccn  a  lo  largo  dc  un  proyccto  concreto.  E*  imprctcindiblc  que  l« 
proyectos  dc  desarrollo  sc  lleven  a  cabo  en  el  teno  de  una  organizneidn  consolidate 
Poe  ello.  la  organi/aetdet  te  convicrte  en  otro  clemento  critico  a  tener  en  coenta  por  d 
auditor. 

Especial  mencidn  mercccn  las  nuevas  henanuentas  y  Idcnteas  (CASE, 
programacidn  oeientada  a  objetos.  Icnguaye*  dc  cuarta  gencracidn.  RAD.  prototipada 
etc.),  que  al  altcrar  en  cierta  medida  el  procevo  traditional  dc  desarrollo  de  b 
tngcnkrfa  del  software,  pasan  a  ter  clemento*  cscncialcs  a  cstudiar  cn  un  proccto  de 
auditorfa. 

En  ette  capttulo  sc  han  expucsto  distintot  objetivos  dc  control  que  tic  ningtra 
mancra  deben  iiucrprcursc  como  un  modclo  cerrado.  El  auditor  aplicarl  los  objctivoi 
y  nivclct  dc  cumplimiento  mfmrnot  que  contidcrc  adccuadot  cn  funcidn  del  proyccto 
y  de  las  peculiandadcs  dc  cada  ocganizacidn. 


12.7.  LECTURAS  RECOMENDADAS 

Computer  Audit,  Centred  and  Security.  Moeller.  R.  John  Wiley  &  Soi».  1989. 
Ttcnkai  de  la  auditorfa  in/ormdtica.  YannDcrrien.  Ed.  Marcombo.  1994. 
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Control  iniemo.  auditor  in  y  segurtdad  informdiica.  Coopers  A  I  .v  brand.  1996. 
Amliloria  en  central  tie  ctimpulo.  David  H.  Li.  Ed.  Trillas,  1990. 


12.8.  CUESTIONES  DE  REPASO 

1.  iQut  factoee*  contribuycn  a  la  importance  dc  la  auditorfa  de  desarrollo? 

2.  iQirf  aspect  os  sc  dehen  comprobar  respecto  a  Us  funcionc*  del  4rea  de 
desarrollo? 

y.  Comente  la  impotunoa.  desde  cl  ponto  de  vista  de  la  auditorfa.  dc  U 
formaetdn  que  deben  poseer  lo*  profexionalc*  dc  desarrollo. 

4.  iQut  procedimiento  utili/arfa  para  valorar  la  motivation  del  personal  de 
desarrollo? 

5.  t.Qu i  repcrcusiones  tiene  la  existence  de  herramientas  CASE  cn  el  Imbito 
del  desarrollo? 

6.  Dcacriba  diverse*  procedimicntos  dc  Anilisis.  EvaluaciOn  y  SelccciOn  de 
herramientas  de  desarTollo  que  haya  utilizado  o  conozca. 

7.  iQ vt  nesgo*  entrafta  la  subcontratacidn  del  desarrollo? 

S.  iC6mo  afccta  cl  modelo  dc  cklo  dc  vida  que  »c  adoptc  cn  un  pruvccio  a  U 
auditorfa  a  rcalixar  sobre  el  mismo? 

9.  ,C rce  que  la  “tra/abilidad"  de  los  requisitos  rcsulU  importance  en  un 
desarrollo  inform&tico? 

10.  Exponga  edmo  deberia  ser  la  panicipacidn  del  usuario  a  lo  largo  de  las 
distinus  fases  dc  la  metodologU  Metrics 
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auditorIa  del  mantenimiento 


Jitan  Carlos  Oranfa  Atswez 

13.1.  INTRODUCClbN  A  LA  AUDITORIA  INFORMATICA  DEL 
MANTENIMIENTO  DEL  SOFTWARE 

Nunc  a  sc  ha  prcslado  demasiada  atenctdn  al  cstudio  dc  la  Audi  Iona  Inlormitica 
«  esu  clapa.  m  sc  le  ha  dcdtcado  cl  esfucr/o  necesano  quc  por  mi  alto  imtl  dc  costc 
nerccc.  En  ocasiones  sc  ha  hablado  dc  uiu  ctapa  cn  la  quc  idto  sc  apcrctbfan  pone  de 
kn  prohlcmat  y  apenas  sc  empkaha  un  mmitno  rsfucr/o  cn  aplicar  tfcnica*  dc 
wditoria  con  lo  ijuc  surgta  el  cfecto  ICEBERG  con  el  quc  algunos  autorcs  han 
droominado  al  hccho  dc  quc  sdlo  sc  aprccia  una  pequcAa  pane  dc  la  proMcmatica  quc 
caocrra 

Vanas  msestigaciones  y  cipciKOcm  tcsclan  quc  la  clapa  dc  nunicmmicnlo 
cooMimc  la  mayor  pane  dc  kn  rccursos  emplcados  cn  un  proyccto  software.  Por  canto. 
e\U  ctapa  dchc  set  cspecialmcMc  consider  ada  cn  k»  cstudios  dc  producnvidud  y  dc  la 
Asditoria  Informitica.  La  mantcnibilidad.  factor  crinco  dc  c  studio  cn  Auditotfa 
bfoemitica  del  Mantenimiento.  c\  cl  factor  dc  calidad  quc  cngloha  lodas  aqucllav 
canctcrfslica*  del  software  dcslmadas  a  haccr  quc  cl  product o  sea  mis  (acilmcntc 
mnccnibtc  y.  cn  consccucncia.  a  conscguir  una  mayor  productividad  durante  la  clapa 
de  mantenimiento.  bn  cue  capiluk)  sc  propone  un  modclo  cmpfrico  dc  cMimacidn  dc 
cosies  de  mantcmmicMo  ccntrado  cn  cstc  (actor  dc  calidad.  ast  conto  cl  mdtodo  para 
su  unptcmcntacidn.  Kinalmcntc  sc  consider  an  algunos  casos  pricticos  quc  rcfucr/an  la 
«abdc/  del  modclo. 
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FJ  control  y  evaluation  dc  la  Mantcnibilidad  pwdc  scr  uno  de  lot  factora 
detcrminanles  en  cl  estudio  dc  la  Auditorfa  Intocmilx.i  cn  la  Etapa  dc  MaiMcnimxtto 
del  Software. 

Erccuentcmcnie  te  olvida  que  los  ctfuc  os  dc  auditorfa  cn  la  ctapa  dc 
Mantenimiento  sc  plxvman  cn  lav  pnmeras  ciapas  dc  desarrollc  del  software.  En  la 
opccificacionc*  del  software  y  cn  la  llamada  Ingcnicrfa  dc  Reqaisitos  sc  pUsman  lot 
pnmeros  patot  dc  los  aspccios  que  van  a  determinar  cl  esfuerzo  o  no  diftcultad  de 
maincninucnto  del  software. 

Podemot  deeir  que  la  Mantcnibilidad  va  a  scr  un  factor  dctcrminanic  para  la 
Auditorfa  Informltica  del  Mantenuniemo  del  Software.  Vamo*  a  ccntrar  cl  estudio  dc 
cite  tema  cn  todo  lo  que  rodca  la  facilidad  dc  mantenimicn:o  del  software  y  Vx 
aspect  os  a  auditor. 

lit  frccuentc  que  las  empresas  dc  software  busquen  la  mi'.ima  productividad  ca 
cl  dcsarrollo  dc  tut  producios.  dejando  cn  un  segundo  ugar  a  la  ctapa  de 
mantenimiento.  Esto  constituyc  un  lamentable  error  ya  que.  canto  muchot  cstudioi 
rcvelan.  csta  ctapa  es  la  que  mis  recursos  consume  (mis  del  60%  dc  los  recurves 
cmplcados  cn  todo  cl  proyccto)  (CANN72.  WIEN 84.  IIARR90I  Todo  cllo  nos  llcsa  a 
un  pcofundo  estudio  de  las  tfcnicas  de  Auditorfa  cn  csta  ctapa. 

Si  la  productividad  en  la  ctapa  dc  mantenimiento  es  baja  puede  succdcr.  ademfe 
dc  las  evidenies  implicacioncs  ccooOmicat,  que  cl  cquipo  hunano  que  dcsamilM  el 
producto  tenga  que  dcdicorsc  a  tiempo  cotnplcto  a  su  mantcnimicnea 
Contes  uentemente.  si  la  empresa  quierc  abordar  nuevos  proyestos  tendri  que  incluir 
un  nuevo  cquipo  cn  su  plantilla.  Esto  implica  cl  dcsaproscchamicnio.  al  men  os  parcuL 
dc  la  cxpcriencia  adquirida  por  el  cquipo  anterior,  que  terfa  dc  gran  valor  cn  lot 
nuctos  proycctos.  Por  otro  I  ado  sc  rcquicrc  una  labor  dc  formation  del  nuevo  cquipo 
hasta  adquirir  el  conocimicnto  ncccsano  sobre  lot  metodos  y  hcrramkntas  utili/adot 
por  la  empresa  de  software 

La  productividad  en  la  ctapa  dc  mantenimiento  estd  directamcnte  rclacionada  con 
la  mantcnibilidad  del  producto.  La  mantcnibilidad  es  un  factor  de  calidad  que  engloba 
todax  aqocllas  caracterfsiicat  del  software  dcstinadax  a  hacer  qu?  cl  producto  sea  nub 
ftcilmente  mantcnible.  Por  tanto.  va  a  scr  un  parimetro  decisive  a  la  bora  de  auditor 
csta  ctapa. 

Sc  propone  un  modelo  de  csiimacidn  del  cost o  dc  mantenimiento  que  permite 
aptovechar  las  cxpcncncias  en  proycctos  prestos.  Sc  toma  conn  punto  dc  panida  d 
conocido  modelo  dc  cstimacidn  dc  costcs  claborado  por  Bochn  (COCOMO).  al  que 
sc  tncorporan  unos  indices  que  nisden  la  mantcnibilidad  del  procucto  y  que  afcctan  de 
mancra  imponanic  al  costc  dc  mantenimiento. 
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13.2.  LISTAS  DE  COMPROBAClbN  EN  AUDITORIA 
informAtica  DEL  MANTENIMIENTO 

Siguicndo  un  cnfoquc  cUtico  de  U  Audnoda  Informitica  del  Marocnimiento.  not 
eaconcramot  con  lat  tfemea*  dc  utili/acidn  dc  diferentet  tipot  dc  litUt  dc 
oomprobacidn 

Cara  a  la  revitidn  del  toftwarc  cn  la  ctapa  dc  manicnimicnio.  podrfamot  rctaliar 
cinco  grandet  bloques  o  cnfoquc*  hacta  lot  cualct  podcr  oriental  lat  pregunuv 

1 .  cSc  turn  temdo  cn  cucnu  lat  implicacionet  taicralct  atociadat  coo  el  cambto? 

2.  i-Sc  han  temdo  cn  cucnu  lot  atpcctot  documental**  cn  cuarto  a  evaluar  y 
aprobar  la  pcticidn  dc  cambiot? 

3.  ,.Se  ha  doc u me nlado  cl  cambio.  una  v«  realizado  y  procediCrxJotc  a  dar 
informacidn  a  lodot  loa  que  tc  ven  implicadot  cn  el  proccto? 

4.  En  cuanto  a  lat  rcvttionct  tfcnicat  formate*.  ban  real i /ado  lat  adccuadat? 

5.  tSc  ha  heebo  una  rcviti6n  dc  accptacidn  final  para  ategurer  que  toda  U 
arquilcctura  tofiwarc.  fuc  actuabzada  y  probada  y  tc  proccdio  a  lot  cambto* 
adccuadamcnic? 


la  ulili/ac»6n  dc  grandet  bloquet  como  lot  mencionadot  not  va  a  pcmuiir 
centra/  nuettro  ctfucr/o  dc  auditoda  infuemitica.  ti  bien  vemot  que  a  problcmiuca 
peru uc  cn  butcar  aqucllot  atpcctot  que  con  cl  mcoor  ctfucr/o  de  audnoda  not 
permiun  llcgar  a  auditar  y  contcguir  la  mayor  canttdad  de  infomacidn  que  tea 
podblc 


Surge  ati  la  ncccttdad  dc  ccntrar  cl  ctfucr/o  dc  auditoda  cn  un  factor  que  pueda 
icr  detcrminantc.  ul  como  ct  la  Mantcmbilidad  cn  la  ctapa  dc  Maatemmicnto  del 
Software. 


19.3.  MODEUZAClON  EN  LA  ETAPA  DE  MANTENIMIENTO 

Podemot  tomar  como  refer ente  cl  COCOMO  (COntUttctite  COtt  Model  l.  que  ct 
m  moddo  dc  ettimaridn  dc  coatct  de  proycctot  toftwarc  ere  ado  poc  Bxhm  cn  1981  a 
partir  dc  daiot  rccogidot  de  63  proycctot  |BOE>l81).  El  importance  mimem  dc 
proycctot  tratadot  y  la  ctmcrada  elaboration  del  modclo  haccn  que  tu  validez  pcrduic 
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lusta  la  actualidad.  bit  modclo  ofrece  formulas  cmplncas  de  estimation  dc  cosiest 
csfucr/os  Malware. 

Tras  aplicar  la  verridn  initial  del  modclo  a  una  amplia  sanedad  de  entonm  k 
comprobd  que  no  KastaKi  con  un  unico  modo  dc  drsarrollo.  p>r  lo  que  sc  planteana 
ires  modos  (orgimeo.  semidetached  y  embedded)  en  funcidn  d.*  s  arias  caractcrlstkac 
lamailo.  nccesidadcs  de  comumcacibn.  expcricncia  en  proycctos  sirni  lares.  etc. 

Por  otro  I  ado.  sc  of  raven  ires  sersiones  del  modclo:  Kioto,  irjtermcdio  j 
delallado  1:1  hisico  es  adevuado  para  extimacioncs  rapidas.  aunque  sin  una  pit 
precision  El  imermedio  considers  15  ainbuios  del  proyectc  (ftabilidad  requeridi 
umaAo  dc  la  Kase  de  dalos.  re  since  tones  de  memona.  t  tempo  Jc  respuesta  requenta. 
etc.)  cuya  saloraciOn  aettia  como  factor  muliiplicador  en  <1  modclo.  La  scrota 
dciallada  considera  las  estimaciones  en  cada  una  de  las  etapas  del  ckIo  dc  sida  dd 
proyecto. 

I -a  sersiOn  bfeica  del  modclo  ofrece  las  siguicntcs  fOmulas  de  cilculo  dd 
rsfuer/o  de  dcsarrollo  <  mcdido  en  MMsmonth-man  u  hotnbee  mes): 

Modo  orginko  MM„,  -  14  KS' 

Modo  semidetached  MM  „  -  3.0  KS": 

Modo  embedded  MMIU  ■  3.6  KS' 50 

Siendo  KS  ■  Estimation  del  lamaAo  del  programa  (en  miles  de  Kncas). 

Para  la  estimation  del  esfuerro  de  manlenimienlo  <  necetita  un  nucso 
ptrimetro:  cl  Trdfico  de  Cambto  Anual  (TCA).  que  consist:  en  la  proporcido  de 
insirucciones  fuentc  que  sufren  algun  cambto  durante  un  afto.  b»cn  sea  por  adicidn  o 
por  modificactbn. 

Nl  N  ♦  SLM  f^N  ■  Niimerode  llneas  suevat 

TCA  « - — — -  1  NLM  -  Niimero  de  llneas  nodificadas  I 

NU  NU  =  Ndmero  de  lineas  metal 


Ari.  el  esfuerro  en  la  ctapa  de  manienimierao.  segiin  el  mcdelo  COCOMO.  viese 
dado  como  producto  del  esfuerro  dc  dcsarrollo  y  el  trifico  de  cimbio  anual. 

MMmamt  =  TCA  MM  dcs 

13.4.  MODELO  OE  ESTIMACION  EN  EL  MANTENIMIENTO 

La  mantembilidad  es.  sin  duda.  el  factor  de  caltdad  del  software  con  mayor 
tnflucncta  en  la  ctapa  de  mantenimiento  y.  por  lanlo.  elemcnto  decisis o  de  refercncu 
en  los  c studios  dc  Auditoria  Inl'ormiUca  del  Mantenimiento.  Un  estudio  realizado  per 
W.  Itzfcld  en  Alemania.  recogido  por  Wallmliller  en  [WALL91]  presenta  un  ranking 
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*  utilizacidn  dc  nWtrkav  dc  calidad  cn  cl  cual  lav  mllricav  dc  mantenibilidad  vc 
mcucntran  cn  primer  lugar.  cmpleadav  por  un  67%  dc  kn  encucvtados. 

Boehm  (BOP.II79)  rcconocia  la  importancia  dc  la  niantcmbihdaJ.  L'no  dc  mjv 
csiuAos  indicaba  que  el  cvfucr/o  dc  mantcnimicnto  dc  un  vofiware  dc  haja 
ountcnibilidad  puedc  e Mar  cn  rclacidn  dc  40  a  I  con  revpcclo  al  cvfuer/o  dc  nuevov 
dcvarrollov.  Ev  decir.  cxivtc  una  relation  dc  dcpcndcncia  cnirc  lav  ca’actcrfvticav  dc 
mantenibilidad  del  software  dcvarrollado  y  cl  cifuCfZO  dc  nuiucnimicnio.  lo  cual  cv 
bavianlc  cvidcMc. 

Poc  lanto.  para  cl  cilculo  del  covie  cMimado  d:  inantcnimKnto  hemov  dc 
omuderar  un  factor  que  indiquc  cl  grade  dc  mantenibilidad  o  facilidad  dc 
aiMcninucnto  del  producto.  Tomando  como  punto  dc  partida  la  formula  dc 
Nimacidn  del  cvfucr/o  dc  mantcnimicnto  del  modelo  COCOMO  dc  Boehm,  cuj 
itcluir  cn  dla  dicho  factor  que  denominnmov  indice  dc  manlcnibilkfcid.  %  que  va  a 
10  funodo  dc  algunav  mcdidav  del  vofiware  dcvarrollado: 

MNW.  -  TCA  MMi„  Ummi 


Evte  indite  va  a  mostrar  cl  grado  dc  mantenibilidad  o  facilidad  dc  mantcnimicnto 
del  producto  dc  forma  que  valorcv  grande v  exprevan  haja  mantenibilidad  mientrav  que 
lo*  takirev  bajov  indican  alia  mantenibilidad.  Al  mivmo  tiempo  va  a  *er  un  been 
in&ador  dc  la  product ividad  cn  la  etapa  dc  mantcnimicnto. 

A*f  puc*.  micstro  principal  objetivo  convivtc  cn  determinar  quC  fonna  ha  dc  tener 
cue  indue  Dicho  dc  oiro  modo.  vc  trata  dc  obtener  la  rclacidn  que  cxivtc  entre  el 
nfoerro  cvlimado  dc  mantcnimicnto  y  aqucllav  caraclcrivticav  que  hacen  que  cl 
ptviducta  vea  mix  o  mcnov  mantcniblc. 

Dov  von,  puev.  lev  pavov  a  veguir  para  la  nomiali/acidn  del  modckx 

a)  Eviablccimicmo  dc  lav  mctnc.iv  dc  mantenibilidad. 

bt  Obicnctdn  dc  lav  funcioncv  dc  mantenibilidad  que  rclocionan  la.  mtaicav  evta- 
blccidax  con  cl  fndicc  dc  mantenibilidad. 

Previamentc  a  abordar  evtov  dov  puntov  y  teniendo  cn  cucnta  lav  irev  aclividadcv 
qae  conforman  una  accidn  dc  mantcnimicnto.  cl  fndicc  dc  mantenibilidad  cni 
deKomponcr  a  m  vet  cn  trev  fndkcv:  indicc  dc  coraprenvibilkad.  (ndicc  dc 
■acddicabitidad  c  indicc  dc  tevicabilidad. 
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13.4.1.  Elementos  de  la  mantenibilidad 

Uiu  accido  dc  nuntcnimic nto  se  puedc  dcscompooc,  cn  (res  actividadcs: 

Comprensida  del  cambio  a  realizar 

-  Modification  o  rcalizacidn  del  cambio. 

-  I’rueba  de  coleccidn  del  cambio  realizado. 


Son  (res  (areas  cUramcnle  difcrcnciadas  que  sc  rcalizan  una  Iras  otra.  por  lo  qw 
cl  csfucr/o  de  mantrmmiento  se  puedc  oonsiderar  como  suma  de  los  (res  csfucr/tx 
comprensida.  modificaodn  y  prueba. 

MMiuv  -  MMc  ♦  MM*,  ♦  MM, 

As(  pues.  vamos  a  (ener  (res  indices  de  maiuenibilidad.  I*-.  Iu  e  I,  que  relacnxua 
los  porimciros  del  peoyec(o.  TCA  y  M.MDES  con  los  (res  componenles  del  esfuerzo 
de  mantcnimicnto:  MMc.  MM*,  y  MM, 

MM,  -  TCA  MMc*  l< 

MMw  »  TCA  MM»*  I*. 

MM,  -TCAMM„*I, 

En  conseeuencia.  el  Indicc  de  mantenibilidad.  IMAST  vendra  dado  por  la  mot 
de  los  (res  Indices  antenores: 


Imsm  •  Ic  ♦  1st  ♦  It  (uAvr  =  Indice  de  mantenibilidad 

I<  ■  Indicc  dc  comprensibilKtad 
It,  •  fndicc  de  modiricabilklad 
1 1,  »lndicc  de  (esleabilidad 

El  esfuerzo  total  de  mantenimknto: 


MM*,*vr  -  MMc  *  MM*,  *  MM,  -  TCA  MM,,.*  (Ic  ♦  iu+  I,) 


13.4.2.  M6trlcas  de  mantenibilidad 

El  modelo  aqul  propucsto.  y  que  ha  sido  empleado  cn  los  casos  de  csludw. 
considers  (res  caracterisiicas.  cada  una  de  las  cuales  afecta  de  mancra  directa  a  us 
component  de  la  mantenibdidad: 

Xc:  M/lrktt  de  comprenubtUdad :  Niimcro  dc  tineas  dc  comcnuno  por  cada  100 
llneas  de  eddigo.  La  cstrecha  relacida  erure  la  documcntacidn  interna  del  eddigo  (o 
autodocumentacidn)  y  el  esfuerzo  dc  comprensidn  es  evidente. 
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X«:  Mdtrira  dr  modi  fit  abthdod:  Kliment  dc  lineas  sin  dates  constanics  por  coda 
100  I  (nr as  dc  cridigo  la  cxitlcncia  dc  un  gran  numcro  dc  dalos  consumes  cn  cl 
c&igo  implK-a  un  mayor  csloerro  para  la  modificackWi. 

X»:  Mnhca  dr  tntrabihdod :  Numcro  dc  Ilncas  dc  tratamiento  dc  crrorcs  por 
call  100  lincat  dc  cddigo.  La  dcpuracidn  o  truing  del  eddigo  va  a  ter  mis  ficil  si 
rotten  proccdimicnlot  dc  drteccidn  y  niancjo  dc  crrorcs. 

Las  ires  caractcrlsiicas  sc  han  elegido  dc  mancra  quo  rctullcn  ticilmente  mediMet 
)  que  tengan  una  gran  mtlucncia  sober  la  mantenibilidad.  No  obstante,  cl  modclo 
purde  aplicartc  cualqutcra  que  tea  cl  conjunio  dc  mCtricas  cscogido.  tiempre  que 
fxdc  dcmmtrada  la  dependence  entre  dtchas  metneas  y  el  componcmc  dc 
ouMmibilidad  correspond  icnte 


13.4.3.  Funclones  de  mantenibilidad 

Las  func tones  ati  denorninadas  relacionan  lot  Indices  dc  manccnibilidad  (L.  lu  c 
It)  con  las  mCtnc*s  rcoCn  comeniadat  |Xc.  Xu  y  Xt). 

Ic  -FrOCr  ) 
lu  -Fu(Xm) 

It  ■FjlXi) 

Para  la  oblcncidn  dc  eslas  funcionet  sc  hacc  ncccsano  cl  cmplco  dc  un  elemento 
qec  rcsulta  fundamental  cn  toda  cslimactdn:  la  informackiei  hittdnca.  La  cxpcnencta 
adqutrida  cn  proycctot  antcriores  adqutcrc  un  gran  valor  al  emprender  nuevot 
proycetos.  Por  tanto.  sc  ha  dc  di spotter  dc  mccanismos  que  pcrmiian  tomar  sanas 
■edufas: 


a)  Del  producto  dctarrollado 

X( :  Metric  a  dc  comptcntibilidad 
Xu  Metrtca  dc  modificabtlidad 
Xt :  Metrtca  dc  icstcabtlidad 

b)  Del  proccso  dc  manteninwento 

MM, :  Esfuerzo  dc  comprcnsido 
MMu  Ksfucr/o  de  modificacidn 
MMt:  Esfuerzo  dc  pnictta 

Los  indices  dc  mantenibilidad  sc  obcicncn  a  partir  dc  los  valorcs  dc  csfucr/o 
tunic  la  siguiente  formula: 
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MMr  l<  =  Indicc  de  cooiprcnsibilidad 

c  “  tca  *  MM  MM<  ■  Esfucrzo  de  comprensidn  en  manicnimiccio 

TCA  ■  Trtfico  de  cambK*  4nu.1l 
lMM,„  ■  Fslucr/o  de  dcsumtllo 

Del  mismo  modo  so  otxicncn  lu  e  l>.  considerando  el  esfucrro  de  modiricxite 
M.Mm  y  cl  evfuer/o  de  pcucba  MM,  reject! vamcntc. 

Toda  b  infocmacidn  ncocuni  para  la  aplicacwSn  del  modclo.  va  cotrseaui, 
pwcde  incluirsc  en  una  laMa  quo  denommamot  Tabla  llistdrica  (TH)  con  la  siguKMe 
cstruclnra: 


a 

[21 

a 

a 

Q3 

a 

a 

Em3 

Q 

QSi 

a 

a 

a 

a 

a 

n~r^i 

H1 

a 

B 

m 

9 

S 

am 

B 

53 

a 

a 

a 

E59 

a 

a 

a 

Tomando  la  subtabla  formada  poo  Us  columnar  X,  c  I,  tencmos  una  nube  de 
puntov  representable  en  un  piano  de  dos  dimensioned  {(Xo.L  ,1  /i-l..n).  Hacicndo  n 
«encilk>  andlisi*  de  regrevido  sobre  cstc  conjumo  de  puntos  sc  puede  oblener  la  csevi 
quo  mejor  sc  ajusta.  a si  cooks  cl  coeficiciwe  de  detcrmmacido  o  grado  en  que  data 
funcidn  e%  rcpoescntativa  de  dicho  conjumo  de  pomes  Asf  obiendriamos  la  funode 


Del  mismo  modo  llcgariamo*  a  las  func  tones  Fu  y  F,  a  partir  de  los  conjunios  de 
pontos  (lX„.lv,l/i*l  n|  y  ((Xt/lr,)/i«l..n) 


13.4.4.  M6todo  de  implementacion 

tn  esie  apartado  sc  desen be  el  mdtodo  a  seguir  para  implemcniar  cl  modclo  en  en 
peoyecto  soft  ware  La  figura  13.1  mucstra  los  elemcniot  y  procesos  qoc  imcrvicncn  cb 
el  modclo. 
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Figura  l.i.l.  Etemtruoi  y  prvcesos  qur  inttnienen  rn  el  modelo  de  manlemmiento 

Como  vc  ohvcrva  cn  el  ctqucma.  hay  tret  procetot  que  utili/an  tamo  la 
ofomacidn  hivuinca  dc  lu  TH  como  cieita  informacidn  que  se  solkita  del  pcoccso  dc 
doarrollo. 


13.4.4.1.  Enfoqur  dc  ujuvtc  del  modelo 

Sc  traia  dc  dctcrminar  la  forma  dc  lav  funcioncv  dc  mantcmbdidad.  Kcah/.ando 
uaanilisiv  dc  rcgrcvjdn  vobre  cada  conjuMo  dc  puntot  {fXo.l,,)  /  i*l..n).  {(Xw.lw .►  > 
wl.a)  y  ( l Xi  .It.)  / 1=  l  .n }  rccogidov  dc  la  TM.  vc  podrfn  obtcoer  rcvpcctivamcnte  lav 
fcocionct  o  Hneas  dc  rcgrcsidn  F« .  FM.  y  Fj  que  mejor  represented  a  cada  conjunto 

El  mftodo  dc  ajustc  aquf  emplcado  c*  cl  cooocido  metodo  dc  ajustc  por 
nieimov  cuadradov.  Para  cl  cat©  dc  la  funcidn  dc  comprenvibilidad.  F,  o  tal  que  la 
simj  dc  los  cuadradov  dc  lot  errore*  c*  minima,  et  decir. 

Z'i  cs  mfiumo.  tiendo  c.,»  llo  -  F,<X(  ,)l 
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13.4.4.2.  I'.UinuKton  dd  TCA  j 

f-tte  c<  un  proceto  quc  ha  de  havarte  cn  la  expenencia.  Dot  ton  lot  demean  ] 
bdticot  cn  Codo  proceto  experimental  la  informacidn  hittdnca  >  el  jukio  de  expert* 

El  mdtodo  aqui  propuetlo  sc  tirve  de  ettos  dot  elemcnltM  para  obtener  b 
cttimacidn.  Portirivn  de  la  cxiuencia  de  un  conjunio  de  cualldadet  atnbuiblct  a  a 
proyecto  to  fl  ware  Ette  conjunio  va  a  ter  elaborado  inicialmenie  >  revitado  de  (onsa 
periodica  per  lot  expertot  de  forma  quc  manifietie  las  caractcriificat  diumtivax  de  lot 
prxiyectot  que  componen  la  laMa  de  dalot  hitidricov  Cada  cualidad  J  va  a  lencr  ta 
peso  p  que  permitc  valorar  unat  cualwladet  mis  que  otrat  Cada  pro)  ecto  [crxlri  ida 
dot  potiNlidadet  con  retpccto  a  cada  cualidad:  potecria  o  no  potccrta  Atf.  si  la  labia 
hittdnca  eui  compuetu  por  n  proycctov  tendremot  La  uguiente  informacidn  qot 
repectenumot  en  forma  numeral: 


InfoimacWm  hisuirica 

A  Main/  de  arm  eiementot  que  mdica  lat  cualwladet  de  cada  proyecto  qu 
compone  la  ubla  htttdrica  (THt 

C„  c„  ...  c„ 

Ct,  C»  ...  c.„ 

A*  * 

C„  c„  ...  c.. 

T  Math/  de  at  I  eiementot  quc  indaca  el  trifico  de  cambio  anual  de  cada  proyecto 
de  I..  I II 


C,  •  Cualidad  j  pan  cl  proyecto  i 
Dot  v alone*  pen: Net: 

I :  El  proyecto  pence  la  cualidad  I 
O  Enotiocaso 

_ __ _ 


T  ■  (TCA i .  TCA; ...  TCAj'  TCA.  ■  Trifko  de  carabro  anual  de  proyecto  i 
NOT  A:  El  tupenndice  T  mdica  “matri/  trantpuetu". 


InfomuH  ion  del  proyecto  en  ertudio 

C  Mam/  de  I  tm  eiementot  que  uxbca  lat  cualwladet  del  proyecto  cn  curto.  La 
extraccidn  de  cua  informacidn  requtcrc  la  tntert  enetdn  de  personal  experlo  Ex  en  ette 
momcnio  cuando  se  va  a  revitar  el  conjunio  de  cualidadcv  La  modifkaodn  de  ette 
conjunio  rcquierc  la  actuali/acidn  de  la  tabla  hittdnca  revttando  lat  cualwladet  de 
todot  lot  proyectot  que  la  componen. 


CAHIVIOI)  AlUnOKU  m.lUMMUIMII 


C  ■  (Ci.  ^ ....  cj  c.  *  Cualidad  /  para  cl  proyecto  cn  cuno 

IXn  valorem  poubln: 
p  :  El  proyecto  poscc  la  cualidad 
0 :  En  cxro  caio. 

B  Main/  dc  iuI  clcmeniot  qoc  indica  cl  mlrnero  de  coincxlcncm  quc  licnc  cl 
proyecto  cn  corvo  con  rcspccto  a  cada  proycclo  dc  la  TH.  es  dccir.  cl  niimcro  de 
oulxladcs  quc  ncnen  cn  comita. 


b-a»ct 

NOTA:  El  sfmbolo  *  rcprc'cnu  cl  pcoduclo  dc  malrtccv 
El  TCA  cstimado  vicnc  dado  poc  la  sigutcnlc  cxpmidn: 


TCA- 


B*T* 
B’  *  B 


Dc  csta  forma,  cada  proyecto  intersienc  cn  cl  cilculo  dc  la  csiimacMVn  cn  la 
axdkla  cn  quc  mm  cualidades  comcidcn  con  las  del  proyecto  cn  cviudio 


I3.4.4J.  AplKubilidad  del  ntoddo 

Una  sc/  quc  sc  dispone  de  las  funcioncs  dc  mantembtlidad  (FC.  FM  y  FT)  a»f 
<omo  del  TCA  cstimado.  cl  code  cstimado  dc  mantcnimicnto  sc  oUicne  mMo  con 
iplicar  la  formula  ya  conockla: 

MMm,m  -  MM,  .  MM»  .  MM,  -  TCA  MM,„  (Ic  ♦  I-  ♦  It) 


lc  -FhXc) 

In  -  FufXwl 
It  -FHXt) 

Por  unto,  cl  proceso  dc  dcsarrollo  ha  dc  suministrar  la  uguteme  itformacidn: 

MM,,,  :  F.sfucrzo  de  dcsarrollo 

Xo  :  Mltnca  de  comprcnsibilidad 

Xu  :  Mtftrica  dc  modificabitidad 

X,  :  Marica  dc  icsicabilidad 
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Con  toda  sta  mformaci6n  rccogida  tc  podri  aplicar  U  formula  y  ubtcocr  b 
evtimaci6n  del  sfucr/o  o  code  dc  nuntemmicnto 


13.5.  CASO  DE  ESTUDIO 

Sc  tun  sludiado  ire*  proycctoc  coo  el  Tin  dc  aplicar  cl  modclo  rcctCn  spuesjo 
Sc  trau  dc  un  proyccto  para  cl  dcvanollo  dc  un  paquctc  dc  gstidn  coo  la  We  (P,>  y  dot 
dc  gcttfon  comcrvial  <P;  y  Pi).  El  studio  sc  tu  cimplilicado  convidcrando  tolanxnic 
uno  dc  loc  components  dc  la  manicnibilidad.  a  caber,  la  comprcnvibilidad.  El  evtuto 
dc  la  modiOcabilidad  y  dc  la  tcMcabtlklad  ve  haria  dc  manera  tsknuea- 

Scguidamcntc  sc  muestra  la  labia  hivfonca  cn  la  que  intcrMcncn  lov  no 
proycctoc  ci Iadov.  En  ella.  todov  lov  data*  han  vido  medidov  c\ccpto  cl  indicc  dc 
comprcnvibilidad.  1C.  que  sc  obocnc  mediante  la  formula: 

|  MMr 
C’lCA  MM  do 

Memos  dc  mcncionar  lambkn  que  Ct  y  C-  con  lac  cualidadec  scogidac  pan 
difcrcnciar  lov  proycctos  cn  base  a  »u  incidcncia  cn  cl  (rifico  dc  cambio  anu.il 

C  Proycclo  dc  gstibn  cooublc 

Cj Proycclo  dc  gstfon  comcrcial 

Acignamoc  igual  peso  a  ambac  cualidadec  e  igual  a  la  untdad  (p,  ■  I .  p>  ■  | ) 


Promt  o 

C 

c. 

TCA 

MM,., 

X. 

MM. 

l  ~1 

P. 

1 

0 

0.2  J 

48 

14 

6.6 

0.60 

P 

0 

i 

0.29 

72 

II 

15.7 

0.75  , 

[Pi 

0 _ 

J _ 

0.30 

24 

115 

3.8 

0.53  J 

I  I  ptuycvtu  cn  cuudlo.  Pa.  ilcnc  como  ruuiidad  cl  Occamillo  dc  un  paquctc  dc 
gcsiion  comcrcial  Su  ctapa  dc  devamsUo  ha  coocluido.  El  code  del  dcsarrollo  ha  udo 
dc  57  I  (ombres  r  Ms  y  la  mdtrica  dc  comprcnvibilidad.  X< .  tienc  un  valor  dc  1 7. 


a  l  Obtrnefon  dc  la  funcidn  dc  comprcitvibilidad  (Fc) 

Como  cabc  eeperar.  scgiin  aumenta  cl  valor  dc  la  mltrica  dc  comprcnvibilidad 
(mimero  dc  I  Incan  dc  comcniario).  el  Indicc  dc  comprcacibilidad  Idircctamcnic 
proporcioiul  al  slucr/o  dc  comprcnsiOn )  va  a  divminuir.  POT  lanio.  para  cl  aniliviv  dc 
regrsibn  del  conjumo  dc  puntos  (<Xc.  Id}  hay  dov  model**  badantc  cvnIctus  con 
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bi  cxulcx  cnxay  ar  el  modelo  lineal  de  pendieme  ncgaiiva  y  el  modeb  exponent  i jI 
•tpnvo. 


IV  lot  din  modclox.  el  exponential  negatixo  a  el  mix  adecuado  ya  que. 
ftXTTulmcwc.  la  mejora  de  comprcnxxdn  que  xupone  una  nueva  linea  dc  cotneniano  va 
»  xcr  mayor  cuanio  menor  xea  b  coocemracidn  de  lineax  de  comentano  en  el 
ptojrama  F.xto  xe  comprende  pcrfcctameme  yendoom  a  lox  Umitcx.  ex  dxir.  xiendo  lo 
qoc  uictdc  si  xe  aAadc  una  llnca  de  comeniarto  en: 

a)  Un  program*  sin  ninguna  documentation  m:ema 

b)  Un  programa  con  una  documcntacidn  imema  perfecta. 

Es  evidence  que  b  comprenxiOn  en  el  caso  (a)  va  a  venc  meyorada  en  una  cuantb 
macho  may  or  que  en  el  caxo  (b). 

Empleando  el  in^lodo  de  ajuxtc  por  mfnimox  cuadrados.  lenemos  qae  xe  train  dc: 

miaimi/ar^O',  -(X,, )) 


Por  su  vencillcA.  vamox  a  conxidcrar  en  primer  lugar  el  caxo  df  ayuxic  a  una 
fiiKuVi  lineal: 


minumrar 


to.,  (•♦«„)) 


Dcnxando  parcialmcntc  exia  exprexidn  respcclo  dc  a  e  igualando  a  0.  y  por  otro 
bdo.  dcnxando  parcialmcnle  rcspccto  de  h  c  igualando  a  0.  xe  ohticic  el  xiguiente 
marma  de  ecuacioncs  <en  cl  que  ximplificamox  b  notacidn  no  incluyctdo  lox  limilex 
ie  kn  xumatohox  que  xiempre  ion  i>l  haxia  n>: 

£i„».N»h£x„  I 

Conxidcremox  ahora  b  funciun  exponential: 
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Aplicando  logariimov  obtcncmov 


Por  lanro.  volvcmos  a  tencr  una  funckta  lineal  dcxxlc  la  variable  indcpcndictuc 
X<„  y  la  variable  dcpcndicntc  cv  l.n  I,..  Hactcndo  el  camhk>  dc  variable  •  l* 
aid  twno  o'  *  Ln  a  otxcncmov  cl  vguiente  viMcma  a  revolver: 


Xr„-.'N.b£x„ 

Sx.,iv, -*'Zx.»bZx;1 


law  dalov  rcqucrxkn  ve  mueuran  cn  la  viguiente  labia: 


Proyccro 

P.~ 

x 

14 

Jc _ 

0.60 

IV  -  Ln  If 

-0.51 

Xv~ 

196 

&lx_ 

-7.14 

P 

II 

0.75 

-0.29 

121 

-3.19 

'* 

15 

0.53 

-0.63 

225  ' 

-9.45 

Sumav 

jW _ 

1.88 

1.43 

542 

-19.78 

Suvfiltiyendo  y  revolviendo  el  viMcma  dc  ccuacioncs  renihanle.  obiencmov  bi 
valores: 


a  -  1.86 
b  -  -0.08 

Por  tamo,  la  luncidn  de  compreaMbdidad  (1,1  obtenida  liene  la  forma: 

lr-FaX«-)»  l^be**^ 


bl  Obit n< ion  del  triflco  de  cambio  anual  rvtimado  (TCA) 

Varna*  a  convinnr  lav  matrkev  A.  T.  C  y  B  dc  acucrdo  al  proccdimicMo  y» 
cxpucsto: 


J'd 
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Aplicando  La  fiVmuIa  tie  cllculo  tic  TCA  tcncmov 


c)  Apltracidn  del  modrlo  al  proyccto  P,  para  H  ciilculo  dd  emit  dc  comprcnxidn 
etiimado  rn  la  dapa  dc  mantcnimienlo  ( MM( ) 

MM,  -  TCA  MM«3  Ic 

MM,  -  0.30  57  1.86  e*“  "  -  8.16  Hombrct  x  Me* 

Como  ya  tc  ha  comeMado.  cn  el  caso  dc  evlodio  ve  ha  conttdcrado  *6lo  un 
coaponcnie  de  la  mantenibtlidad  Para  lot.  o»ro\  do*  componcntc*.  el  xocedimiento 
teria  idennco.  El  cottc  o  etfucr/o  cttimado  de  manteninuento  xe  obtendrfa  como  ujnu 
de  kn  tre*  cotte*.  comprentidn  (MM, ).  modificaei6n  <MMU>  >  ptueba  (VfMi). 


13.6.  CONCLUSIONES 

Como  hemot  podido  comprohar.  mcdianic  el  ctiudio  dc  la  maitcmbtlidad  >• 
aahtando  la  ulilt/aci6n  cn  cl  proyedo  toll  ware  de  la*  tdvnicat  qoc  pcmitan  atejurar 
no.  nivclet  de  mantcnibilidad.  podremot  fijar  el  campo  de  actuacifa  Ce  b  Auditoria 
IsformiiK  a  en  el  Mantcnmucmo 


13.7.  LECTURAS  RECOMENDADAS 


La  publicacidn  pcriddica  The  Journal  of  Information  Systems  Audi  ami  Control 
Axtonauon  dc  la  ISACA. 

La  Obra  dc  Weber  R.  KOf  Auditing.  Com r [limit  FvuntUuumt  unJ  Awlftr.  2* 
el.  ediiada  poc  McGraw-Hill.  Sydney.  1988. 

Pur  ultimo  podriamot  mencionar  poe  el  campo  dc  mi  utilizacidn  la  obra  de 
Builtt)  R.  Hurford  C.  y  Simptoo  R.K.  de  la  Internal  Audit  in  the  Public  Sector. 
pttxada  pot  ICS  A  cop  en  1993. 


13.8.  CUEST10NES  DE  REPASO 


I  lixponga  las  ra/ones  quc  haccn  dc  la  auditoria  del  nanienimienio  un  leci 
cxpccialmcntc  critic*. 

2.  Desarrolle  una  liMa  de  comprobacidn  quc  rcccja  los  aspcctos  rail 
importanies  a  la  hora  dc  csaluar  la  gcstidn  dc  cambios. 

3.  iQat  vcnujas  apoflj  una  hcnamicnta  dc  gestidn  dc  configuracidn  a  la  bora 
de  auditar  el  mantcnimicnto  dc  sistcmas  informitic©*' 

4.  Apliquc  las  metrical  propuestas  cn  CMC  capftulo  a  algun  m sterna  real 
culibrindolax  si  lucra  ncccsario  a  su  cnlomo  espccffico. 

5.  ,.Qu£  factoccs  pueden  inlluir  cn  la  rnodificabilidad  dc  tos  program**? 

6  Anal  ice  cn  la  lilcratura  cxistcnlc  disersas  meincas  dc  ;omplcjid*d  y  dcvrnhi 
su  influcncia  cn  la  manienibilidad 

7.  Existcn  bcrranucnlas  cspcciTicas  para  la  gctlidn  dc  pruebax  dc  software, 
analiee  su  impacto  cn  la  tcsicabilidad. 

8.  <.Cdmo  deberia  organi/arsc  la  gcxlidn  dc  incidcncias  dr  mantcnimicnto  cn  an 
depanamento  de  informinca  dcxdc  cl  punto  dc  vista  d-  la  auditoria? 

9.  I  .a  influcncia  de  la  documcntacidn  cn  cl  mantcmnicnto  dc  los  ustetnas 
parccc  obvia.  pcio  .ciSino  mcdirta  la  ducumentacifa  exixtentc  sober  an 
sistema? 


10.  Compare 
capftulo. 


modclos  dc  cxtimacidn  quc  conozca  con  cl  propucsto  cn  esac 
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Al  DITOKI  A  I)K  BASKS  [)K  DATOS 

Mario  ('$.  Piatrini  Vthhuit 


14.1.  INTRODUCCKjN 


U  {ran  difuvidn  de  I at  Sninni\  dc  GctUdn  dc  Bases  dc  Dotes  (SGBD).  junto 
«•  b  convagractdn  de  k»  datov  conto  uno  de  lot  recurww  fundamcntaks  dc  la* 
I  mptu*.  ha  hev  ho  que  lot  lema*  rclalitot  a  su  control  uitcrno  y  auditoria  cobren. 
[■didu.nayoc  micros. 


Como  ya  tc  ha  cocncntado.  normalmenle  la  auditoeia  infonrUiKa  tc  aplica  de  dot 
»•»  dotintas.  pot  un  lado.  tc  auditan  Us  pnncipok*  areas  del  dcparumcnto  dc 
jWtnoltica:  explotacidn.  duccodn.  mctodologfa  dc  dccarrollo.  Mitema  opcralivo. 

aciooct.  haves  dc  dales,  etc.:  y.  por  otro.  sc  auditan  lav  aplkacioecv 
intemamente.  tubconlratadav  o  adquindas)  que  func tenon  cn  la 

i  Li  imponaiKu  ik  la  auditoria  del  cMomo  dc  buses  dc  daiot  radsta  cn  que  o 

>de  parttda  para  podcr  reali/ar  U  auditoria  dc  lav  aplicacioocv  que  utili/an  evta 


METODOLOGfAS  PARA  LA  AUDITORfA  DE  BASES  DE 
DATOS 

Amqoe  exiticn  distmtav  metedologias  que  tc  apt  lean  cn  auditoria  informitica 
e  cada  tirma  de  auditorev  y  coda  empreva  dcvamtlla  la  tuya  proptal. 
ipfc»k>  3.  vc  pueden  ajtnipar  cn  dot  clavcv. 
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14.2.1.  Metodologia  tradicional 

En  cmc  lipo  Jc  metodologia  cl  auditor  retisa  cl  entomo  con  la  a>-uda  dc  una  lift 
dc  control  (eheekliu),  que  contta  dc  una  tene  dc  cuctlionet  a  verificar.  Por  cjemplo 

S  N  \1 


iExitlc  una  metodologia  dc  diteAo  dc  BD? 

El  auditor  deberi.  rcgiMrar  cl  rctuliado  dc  mi  invctngacidn:  S.  m  la  retpoetu  a 
alirmativa.  iV.  en  ca*o  cuntrano.  o  A M  (no  aplicable). 

Kmc  tipo  dc  teentea  tuele  ter  aplicaila  a  la  auditoria  de  product  O*  dc  hatet  4t 
datot.  ctpccificiodotc  en  la  liMa  de  control  toden  lot  atpcciot  a  tenet  en  cuenta  Ka. 
por  cjemplo.  ti  cl  auditor  tc  enfrenu  a  un  entomo  Oracle  8.  en  la  litia  de  control  * 
rrcogerin  lot  parimetrot  dc  intulacibn  que  mis  net  got  comportan.  tcAabndo  cull  a 
tu  range  adecuado  l)c  etta  manera.  ti  cl  auditor  no  cuenta  con  b  ativtencia  de  ■ 
etperto  en  el  producto.  poedc  comprobar  por  lo  mcnot  lot  atpectot  mat  impottam 
de  hi  intiabcidn. 


14.2.2.  Metodologia  de  evaluacion  de  riesgos 

Kstc  tipo  de  metodologia.  conocida  tambien  por  risk  oriented  apptoariu  et  la  qae 
propone  la  ISACA.  y  cmpic/i  fijando  lot  objetivot  de  control  que  manini/jn  la 
nctgot  potcnculct  a  lot  que  cMi  tomeudo  el  entomo.  En  TounAo  y  Fcmindci  ( 1991) 
»c  te  Allan  lot  net  got  nvit  importaniet  que  I  leva  conti  go  la  utili/acidn  de  uiu  bate  dr 
datot  y  que  tc  rccogcn  en  b  figura  14.1. 

Contiderando  eMot  net  got.  te  podria  definir  por  cjemplo  el  tiguiente: 


Ofcjrtlvo  d«  Control; 

El  SGBD  deberi  pretervar  b  conFidenctalidad  de  b  bate  de  datot 

Una  vez  euablccidot  lot  objetivot  de  control,  te  ctpccifican  lat  tdcaka 
etpecificat  corretpondicntet  a  dicbot  objetivot; 


Tecnica  de  Control: 

Sc  deberin  ettableccr  lot  upot  de  uuiahot.  peril  let  y  pnvilcgiot  necevanot  pm 
controlar  el  acccso  a  la  bate  de  datot. 
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IHCOMOAIIMIOAOII  lllltl  lll'IUI  01  tl«M<0A0  M  ACCIK> 

»K>»K»  on  moo  •  li  oiniiAi  oi  u  miuiacion 


MA»OI  IM0AC1O  01  lOO  IIIOOII  ■■  OAIOI  O  MOOIAHAI  Ml  ■■ 
IM  MU  MAI  tlADXKMAlll 


MAIM  IMIACIO  01  ACCIMI  no  AIIOO'IAOOI  Al  ntOOAUlO  01 
IA  IAII  01  OAIOI  OM  A  in  nCallO  ItAOICKWAI 


Figaro  14.  /.  Riesgos  debulot  a  la  utilization  dt  ana  bast  dt  data.  TOURIliO  y 

FERNANDEZ  <1991) 


Un  objelivo  de  control  pucdc  llevar  awciadax  variat  t^cnicas  }uc  pcrmilcn 
atnrto  en  mi  lolalidad  Ksun  tfcnicat  pucdcn  scr  prtvtniiui  tcomo  U  imKi 
■ndonada)-  dctectivai  (como  moniton/ar  lm  jcccw  a  la  BD)  o  corrcctivai  <po» 
•Jtmplo.  una  copia  de  rexpaldo  -backup-). 

En  caw  dc  quc  kn  controlcx  exilian.  *e  diicAan  unai  prucbai  dcnominadax 
pnrbai  de  cumphmienio)  quc  pcrmiicn  vcrificar  la  oonutlcncia  dc  Icn  mitmov  pot 


ftacba  dc  cumptimicnlo: 

Lnlar  Un  pnvilegio*  y  pcrfilc*  exittcMcs  cn  cl  SGBD. 

Si  ctfax  prucbai  dctcclan  inconiiitrnciai  cn  kn  conuolev  o  bicn.  m  Un  controlci 
loexiilcn.  ic  paia  a  discAar  otto  Upo  dc  prucbai  -denominada*  pruebai  susiantnai- 
9*  pcnrntan  dimcnxionar  el  impacto  dc  cttas  dcficicnciax. 


www.FreeLibros.me 


At  rxtOKlA  INIOKMATICA 


N  tVKIQt  l  HOTKO 


I'rui-ba  suMantiva: 

Compeobar  xi  U  mformacidn  lu  xido  corrompoda  companltxlola  con  otra  fjenv.o 
rcvisando.  lot  documcntox  dc  cntrada  ilc  datos  y  las  Iranxacciooex  que  ve  La 
ejecmado. 

Una  vc/  vakradox  l<»  rexultadox  dc  lax  prucbax  vc  obdcncn  unax  coiicIusmoo 
que  serin  comcntadax  y  discutidas  con  lox  rcsponxabkx  direct  ox  dc  lax  ire**  afccuda 
con  cl  fin  dc  comtborar  lox  rcxul Iadov  Por  ultimo,  cl  auditor  deberi  cmitir  una  senede 
tomentarioi  dondc  xc  dexenba  la  xituacidn.  cl  riesgo  existence  y  la  delkieneia  a  r 
solucionar.  y.  cn  xu  caxo.  xugenri  la  posible  tolucido. 

Como  rexultado  dc  la  auditorfa.  xc  prexentari  un  informc  final  cn  cl  que  k 
expongan  lax  concluxioncx  mix  importances  a  lax  que  xc  ha  llcgado,  ad  cotnod 
akance  que  ha  lenido  la  auditorfa 

f.Ma  »cri  la  t6.ni tea  a  utili/ar  para  uuditar  cl  entomo  general  dc  un  uuema  *  . 
bases  dc  dates,  tanto  cn  xu  dcxarrollo  cxxno  durante  la  explotacirin. 


14.3.  OBJETIVOS  DE  CONTROL  EN  EL  CICLO  DE  VIDA  DE 
UNA  BASE  DE  DATOS 

A  condnuacKWi  expondremox  algunox  objetivox  y  1 6m  teas  dc  control  a  tenrt  a 
cucnta  a  lo  largo  del  ciclo  dc  vida  dc  una  base  dc  dates  Is  Case  la  ftgura  14.2)  qn 
abarca  dcxdc  cl  cstudio  pres  10  havta  xu  cxplotacidn;  para  cllo  nox  baxaremox  ea  los 
propoextox  por  la  ISACA  a  prinetpiox  dc  exta  dCcada.  MI-.NKUS  (1990),  y  cn  let 
reoentemente  publicadox  COBIT.  ISACE  ( 1996) 


14.3.1.  Estudio  previo  y  plan  de  trabajo 

En  exta  primera  faxc.  ex  muy  importance  claborar  un  cstudio  iccnoldgioo  de 
viabilidad  cn  cl  cual  xc  contcmpkn  dixtiMax  alternatives  para  akan/ar  lox  objetive* 
del  proyccto  acompoilados  dc  un  anilixix  coxlc-bcneftcio  para  cada  una  dc  ta 
opcioncx.  Sc  debc  conxidcrar  entre  extax  altcmativax  la  posibilidad  dc  no  Ikvar  a  cabs 
cl  proyccto  (no  xiempre  extd  justificada  la  implantacidn  dc  un  xt sterna  dc  banes  dc 
datos)  asl  como  la  dixyunliva  entre  dcxarrollar  y  compear  (en  la  prcktica.  a  veers  oca 
cncomramox  con  que  xc  ha  dcxarrollado  una  aplicaciOn  que  ya  cxistfa  cn  cl  mcrcaix 
cuya  compra  hubtexe  xupucxto  un  riexgo  menor.  ascgurdndooox  inctuxo  una  mayor 
calidad  a  un  precio  inferior). 
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Flyura  14.2.  Cicb  dt  xida  tit  una  bast  dr  datos 


IXesalortunadamcnic.  cn  basiantc*  cmpresas  cue  euudio  tie  viabilidad  no  sc  lleva 
a  cabo  con  cl  rigor  ncccsano,  con  lo  que  a  medida  que  sc  van  desarrollando.  lav 

iKtentu  dtmunim.  a  vcc«.  ■«  poco  r*nuMp> 

FJ  auditor  debe  comprobar  tambidn  qoc  la  alia  dircccidn  revisa  k»  inforrncs  dc 
to  cUudios  dc  viabilidad  y  que  es  la  que  decide  seguir  adclante  o  no  con  cl  proycclo. 
F.uo  cs  fundamental  porque  I  os  idcnicoA  han  dc  tener  cn  cucnta  que  si  no  enisle  una 
dcodida  voluntad  de  la  organi/acidfl  cn  su  conjunto.  impulvada  por  los  directivos. 
aomenu  considerablementc  el  riesgo  dc  fracasar  cn  la  implant  aci6n  del  sistema. 

En  los  nuevos  COBIT  *e  enfati/a  la  impoctancia  dc  llcvar  a  cabo  una  gestita  dc 
riesgos  (valoracidn.  idcmifieaciiSn.  medida.  plan  dc  accidn  y  accptacidn).  que  es  objeto 
de  atencidn.  afortunadamcnlc.  de  un  mime  as  cada  dia  mayor  de  enipresav. 
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l:n  caso  dc  que  ->c  Jccida  llevar  a  cabo  cl  proyecto  es  fundamental  quo  k 
cMabtezca  un  plan  director,  debiendo  cl  auditor  vcnficar  que  cfccti* amente  dicho  pfaa 
%c  cmplca  para  el  teguimienio  >  geaidn  del  proyecto  >  que  cumpte  con  ka 
proccdinucntot  generate*  dc  gc*tidn  de  proycctos  que  tenga  aprobadm  la 
orgam/aetdn. 

Otto  aspccto  muy  importanle  en  e*ta  fate  c*  la  aprohacidn  de  la  euroettra 
organic a  no  tdlo  del  proyecto  cn  particular,  sino  tambiCn  de  la  unidad  que  lendri  la 
rcxpomabiltdad  dc  la  gestidn  y  control  de  la  bate  de  dato*;  rccordernot  quo.  para  que 
un  entomo  de  bate  de  dato*  funcione  debtdamcnic.  esu  unidad  e»  impretciodibte 

Sc  pueden  establcccr  acerca  de  f'U  tema  do*  objetivo*  de  control.  MENKUS 
(I WO):  "lichen  asignarse  responsatnlidadet  para  la  plantficacu'm.  organiwiin. 
dotacidn  dt  plant  1 1  lot  y  control  dc  lot  acthui  dc  datos  dc  la  orgamzandn" 
(admmixtrador  de  dato*)  y  "Debc  asignarse  la  resporuabilidad  dc  la  admiwitraadn 
del  entomo  dc  la  base  dc  dasot  ~  (admiimtrador  de  La  hate  de  dato*);  tcAalando  li 
mayor  parte  de  k»  autore*  que  amba*  funcione*  tienen  que  pottcioaane  a  un  mvel  to 
sufic  icntcmcnte  alto  en  el  organigram*  para  ategurar  su  indcpendencia. 


hauiai  it  ouiao  comcimoai  »  locico  »i  la  **u 
o«ni  at  rtttOMAi  M  UI’IUAI  mull  n  miamouo 

IMIUI  At  M  1*0* A l 

IttAMICI*  IttANOAtlt  01  001*0  01  »0.  OIIAtlOllO  I 
C 0011*100  011  OKClOUKO  H  oaio* 

Olll  a  a  I  LA  OOCMHNIACIOM  INCIWOA  I*  II  OICCIONAtIO 
OftAMCUAI  tOUHCA*  0*  (lino*  01  OAIO* 

oiiamouai  null  iiiiaiioko*  i  lAcncot  »aia  la 
UAMiroiACIO*  0*  lot  OAIO* 

c-4* Attoii At  io»  tiotono*  oi  to*  in uf mi o*  on 
OtCCKMAKO  04  OAIO* 

OUAItOIIA*  MOtMA*  tA»A  1A  MMOUIMACIOM 
COMItOLAI  IA  Uin«tlOAO  I  M«***AO  04  IO*  OAIO* 

rtAMHICAt  IA  IVOIVOOM  04  LA  00  01  LA  IMttIVA 

IDINTIIICAI  OOOttVMIO AO* I  0*  COUOAtnCIOM  01  OAIO* 

IIAAAJAI  COM  IO*  AIOHOH*  la  LA  AUOllOtIA  01  LA  *A>< 

ttOAOtOONAt  CONI  toil*  0*  UOMlOAO 


Figura  Id. 3.  Tar  cat  del  administrador  de  datos.  BRATHWAfTE  ( 19831 
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Rn  las  lipunv  14.3  y  14.4  se  mucslran  algunas  tic  Us  functooes  y  responsabilida- 
4et  unto  del  admimstrador  dc  dates  como  del  adnumstrador  de  U  base  dc  dates 
Remitirnos  al  lector  interesado  en  tratar  coo  mis  protundidad  cste  tema.  a 
WtATHWAITE  ( 1985 1.  doode  se  analt/a  desde  la  perspcctiva  del  control  de  datos 


Fitura  14.4.  Tareas  de I  admuuuraJor  de  la  bate  de  dalot,  BRA7NWAITE 1 1985) 

A  b  hora  de  detallar  las  respoosahtlidades  de  cstas  functooes  hay  que  tener  en 
caenu  uoo  de  los  pnneiptos  fundamcnules  del  control  interne:  b  teparaetdo  de 
ftnoones  Se  rccomienda  una  sepnncidn  de  functooes  entre: 

H  personal  tie  tUsarrolto  de  litttmu  y  el  de  esplorw-uWi 

-  Expkxacidn  y  control  de  datos. 

-  Admimstractdo  de  bases  dc  datos  y  dcsarrollo 


beberfa  existir  uniMn  una  separacidn  de  functooes  entre  cl  adminturador  de  b 
tegundad  y  el  administrador  de  b  base  de  datos.  Kuo  no  qutert  dectr  que  cstas  ureas 
tetjjMi  forrosamente  que  desempeflarlas  personas  distintas  do  que  no  serfa  vubk 
ax  has  pcqocAas  y  medtanas  empresas)  pero  si  que  es  un  aspecto  import  ante 
ecotrol  a  considerar.  por  lo  que  en  case  de  qoe  no  pueda  lograrse  b  scpuracidr 
tociones.  dcbcrln  euablccerse  coofroles  compcnsatorios  o  alternatives.  como. 


X  its-s 
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cjcinpSo.  una  mayor  atenddn  de  la  direction  y  la  comprohacion  pur  pane  tie  Cjk 
uMiario  del  conienido  y  de  lav  validav  mat  imponanicv  pr  oducidas  a  panir  de  la  BD. 

La  situation  quo  ol  auditor  encucMra  normalmcnic  on  lav  omprrvas  cv  quo  al  m 
eusiir  una  description  detallada  de  k»  pucvlov  de  (rahajo  (que  incluyan  rrspxua 
bilkladev.  conocimtcmov.  etc).  la  separation  de  funcionev  ev  muy  diflcil  de  venficv. 


14.3.2.  Concepcion  de  la  base  de  datos  y  seleccion  del 
equipo 

I  in  evtt  fave  ve  empie/a  a  diveAar  la  have  de  dalov.  por  |o  qoc  dehen  utili/ane  In 
modclos  y  lav  tecmcas  defmidov  en  la  mctodologla  de  dcsarrolkv  de  vivtemav  de  h 
empreva.  v  eavc  C'apitulo  12. 

la  meiodologla  de  divcAo  deberia  unihten  empiearve  para  evpecificar  In 
documetUov  tuentev.  lov  mccanivmov  de  control,  lav  caraaerivticav  de  teguridad  y  la 
piviav  de  audilorfa  a  incluir  en  el  vivtema.  evlov  ultimo*  aspect**  general menle  te 
deveuidan.  lo  que  produce  ma yores  cosies  y  problemav  cuando  ve  quicren  mcorponi 
una  vcz  concluida  la  implementation  de  la  have  de  dalov  y  la  ptogramaciOo  de  la 
aplicackmes. 

LI  auditor  dchc.  por  lanlo.  en  primer  lugar.  analizar  la  mctosiologfa  de  diveftocca 
cl  fin  de  detemvinar  si  cs  o  no  accptable.  >  luego  comprohar  vu  corrccla  utili/aoOi 
Como  mini  mo  una  mciodoksgfa  de  diseAo  de  BD  deberia  contemplar  dos  laves  dr 
disciio:  tOgico  y  ITvicc.  aunqoc  la  mayoria  de  las  empleadav  en  la  actual idad  contcmpli 
trev  faves.  ademi*  de  lav  do*  anlcnorcs.  una  fave  previa  de  disctVo  conceptual  que  serii 
abordada  en  evle  momenlo  del  ciclo  de  vida  de  la  have  de  dalov;  vOavc.  por  cyetnpto, 
De  Miguel.  Pialtini  y  Mareov  1 1999). 

Un  importantc  avpecto  a  consider*,  al  que  los  COBIT  detUcan  un  uparudi 
cvpeclfico.  ev  la  definition.  de  la  arquitociura  de  la  informactOn.  que  contempla  emtio 
objetivov  de  control  rclatisos  a: 

-  Modelo  de  arquitettura  de  information.  y  vu  actualizaciOn.  que  cs  necetaru 
para  manlcncr  el  modelo  coovivienie  con  lav  ncccvidadcv  de  lov  uvuarios  y  coa 
el  plan  csiralOgieo  de  lecnologia*  de  la  information. 

-  Dalov  y  dictionaries  de  dalov  corporativo. 

-  Esqucma  de  cUuticacion  de  dalov  en  cuanto  a  vu  segundad. 

-  Nivelcv  de  veguridad  para  cada  anterior  clavificacidn  de  datov. 

F.n  cuanto  a  la  selection  del  equipo.  en  cavo  de  que  la  einpreva  no  disponga  ya  de 
uno.  debera  rcali/arse  utili/ando  un  procedimicnto  rigurovo;  en  el  que  vc  convidcrm. 
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por  un  I  ado.  bs  nccesidadc*  dc  la  cmprcsa  (dcbidamcntc  pondcradas)  >.  por  otro.  las 
prcstacioncs  quc  ofrcccn  los  dislintos  SGBD  candidates  (puntuados  dc  mancra 
oportana).  En  ISACF  ( 1996)  sc  dcstaca  umbiCn  quc  cn  cste  proccdimicnto  sc  debe 
irarr  cn  cucnta  cl  impacto  quc  cl  nuevo  software  tienc  cn  cl  sistema  y  cn  mi  seguridad. 


14.3.3.  Dlserio  y  carga 

En  csta  fasc  sc  lies anin  a  cabo  los  discAos  lOgico  y  ftsico  dc  la  base  dc  dalov  por 
lo  quc  cl  auditor  lendri  quc  esaminar  si  csios  discAos  sc  han  rcali/ado  conecumentc: 
detemunando  si  la  deftnicida  dc  los  datos  contempla  ademis  dc  su  cstnictura.  las 
tuxiacioncs  y  las  rcstrtcciones  oportunas.  as i  como  las  espccificaciooc*  dc 
aloiKcnamiento  dc  datos  y  las  cucsliones  rclativas  a  la  seguridad.  El  auditor  tcndrl 
quc  lomar  una  mucstra  dc  cicrtos  demento*  ttabUi.  vistas,  indices)  y  comprobar  quc 
su  definition  e*  compkta.  quc  ha  sido  aprobada  per  cl  usuario  y  quc  cl  administrator 
dc  U  base  dc  datos  panicipO  cn  mi  establccumemo. 

Es  imporuntc  quc  la  direction  del  departamento  dc  informitica.  los  usuarios  c 
•cfcno,  cn  algunas  ocastoncs.  la  alu  direction,  aprueben  cl  discAo  dc  los  datos.  al 
igual  quc  cl  dc  las  aplitacioocs. 

Una  vc/  discAada  la  BD,  sc  pcoccdcra  a  su  carga.  ya  sea  migrando  datos  dc  un 
toportc  magndico  o  introducidndolos  manual  mente 

Las  migracionc*  o  conscrvioocs  dc  sisiemas.  como  cl  paso  dc  un  sistema  dc 
»ctuvos  a  uno  dc  bases  dc  datos.  o  dc  un  tipo  dc  SOBD  (dc  jcrirquico  a  rclaciorul). 
atnAan  un  riesgo  muy  impottantc.  por  lo  quc  deberin  cstar  claramcntc  planificacbx 
far*  evitar  pddida  dc  information  y  la  transmisidn  al  nuevo  sistema  dc  datos 
otOocos  Tambifn  sc  debenin  reali/ar  pruebas  cn  paraklo.  venfkando  quc  la 
decision  real  dc  dar  por  terminada  la  prueba  cn  paralclo  sc  atenia  a  los  cntcrios 
esaNccidos  por  la  direction  y  quc  sc  hay  a  aplicado  un  control  cstrkto  dc  la 
correcci6n  dc  mores  dctcctados  cn  csta  fasc. 

Rv  lo  quc  res  pee  la  a  la  entrada  manual  dc  datos.  hay  quc  cstahlcccr  un  conjunto 
dr  cootrotes  quc  aseguren  b  integhdad  dc  los  mismos.  A  cstc  rcspccto.  cabc  dcstacar 
q*  las  dee  lame  tones  cscrilas  dc  proccdimicntos  dc  b  organization  referemes  a  b 
ttrjcga  dc  datos  a  scr  proccsados  dehen  asegurar  quc  los  datos  sc  autorizan.  recopibn. 
preparan.  transmiten.  y  sc  comprucha  su  integridad  dc  forma  apropiada 

Tambtdn  es  aconscjable  quc  los  proccdimicntos  y  d  discAo  dc  los  docvmcntos 
hmtes  minimiccn  los  mores  y  las  omisioncs.  asi  como  cl  csublccimicnto  dc  unos 
proccdimicntos  dc  autori/acidn  dc  datos. 
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Un  arpccto  muy  importantc  o  el  traumicnto  de  dator  dc  cntrada  errdnec*.  pan 
lor  que  dcbcn  cuidanc.  coo  atencidn  kn  pnvedimienior  dc  mntroduccido  dc  form 
que  no  dirmtnuyan  lot  controier;  a  crtc  rerpecto  k>  ideal  e\  qix  lot  dator  vc  validra ) 
comyan  tan  ccrca  del  ponto  dc  on  gen  como  vj  porible. 

Como  rabcmor.  no  coda  la  rcminiica  de  lor  dator  pucdc  ucmprc  almaccnarre  « 
el  crquema  de  la  base  de  dator.  por  lo  que  pane  de  eoa  rcmantica  re  re  ubhgada  i 
rcudir  cn  lor  program**.  Seri  ncecrano.  por  unto.  comproSar  que  lor  prognmat 
implemcntan  de  forma  adecuada  on  integndad. 


14.3.4.  Explotaci6n  y  mantenimiento 

Una  ve/  reali/adar  lar  pruebar  de  accpcacxSo.  coo  la  panic  pacidn  de  k*  ittuanoa. 
el  rartema  re  pondri  (medianle  In  corrcrpondienaer  auton/a.iooer  y  nguiendo  lot 
proccdimicntor  erublcodor  para  elkn  en  expkxacido 

En  eria  fare,  re  debe  comprohar  qoe  re  ertableccn  kw  procedimientot  de 
exptotacadn  y  mantenimiento  qoe  areguren  qoe  lor  dator  re  tratin  dc  forma  coogniene 
y  exacta  y  qoe  el  cootenido  de  lor  rirtemar  rdto  re  modifica  irediantc  la  autonracka 
adecuada 

En  lor  noevor  COBIT  re  dedica  un  apartado  completo  a  Octal lar  lor  objetisor  de 
control  para  la  gertadn  dc  dator.  clarific  indolor  en  un  coojurxo  de  apartador  qoe  at 
moerxran  en  la  figura  143. 

Scria  convenience  tambiCn  qoe  el  auditor  pudicre  llevai  a  cabo  una  auditorfa 
robre  cl  rendimiento  del  urtema  de  BD.  comprobando  sa  re  lies  a  a  cabo  on  proccro  dc 
ajurte  (inning)  y  opumireetdo  adecuador  que  no  tdk>  connrte  en  el  redircAo  Unco  o 
Idgico  de  la  BD.  uno  que  tambrdn  aharca  ciertor  parimetror  del  SO  c  tncluto  la  forma 
cn  qoe  accedcn  lar  tranraccioocr  a  la  BD.  Rccordemoi  que  "la  funciM  dr 
admmislracidn  de  la  bate  de  dams  debe  ter  la  retpontahle  de  monimri&r  el 
rendimiento  V  la  imegndad  de  lot  titlemat  de  BD".  Moeller  ( 1*89). 
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•  a*  p»«poroci6n  eo  Octet 

•  O0  ou»orttoc*bn  do  documonlo*  fuonfn 
j  Pocogida  00  Octet  00  Oocumertet  fuort* 

I  Mono*o  O0  enoret  00  Oocvmertot  \j0rd0 
ill w  uiKiirw  hjirM 
(  00  outorttocibn  00  Octet 
|  Vwiftcocibn  00  •xocIMud.  comp**ci6n  y  cx/lcxuoo6n 
la  00  oc tot 
9  00  Octet 

f<J*ci6n  y  vaOdoctbn  aoi  pracMonKrto  00  Oct ot 
Manoio  do  0note0  O0  procos an^rfc  a*  dale* 
&o«ooci6n  y  marmo  do  KOdas 
CX*tnbocl6n  do  safldas 
BoconcMocita  y  baSoncoo  do  takdas 
Mano>o  do  orroroo  y  rovtatdn  do  scOdaa 
Mtddoi  do  sogundad  para  Worm#*  do  tcOdas 
Pro«occi6n  do  mtarmoette  sonsfcto 
Proloco6n  do  ntormocMn  tondblo  dopuoolo 
Go*»i6n  do  aOnoconanOonfo 

Pobodos  00  roioncibn  y  tkrmmos  00  cjmoconamiorfo 


•  do  Q0tt>Or\  00  to  MbUotoc a  do  modk* 


I  Coptas  do  rotpoido  y  rocuporae*6n 
Trabafoo  d#  copras  00  rotpaido 


14.  i.  Clasificactdn  de  lot  objetiwt  tic  control  para  Ut  gcitidn  dr  datos.  ISACA 
11996 ) 

14.3.5.  Revisidn  post-lmplantaci6n 

Auaquc  en  bastantrs  organiMcionc*  no  sc  I  levs  a  cabo.  por  falla  be  itempo  y 
sc  bcherfa  evuMcccr  el  desarrollo  be  un  plan  para  efectuar  uns  revision  posi- 
BlptuilacvVi  be  lodo  tistema  nuevo  o  mobifscabo  con  cl  fin  be  esaluar  si: 

-  Se  han  conscguido  lot  rcsullabos  esperabos. 

-  Sc  sausfaccn  Us  ncccsidabcs  be  Ins  usuartos 

-  Los  cosies  y  bcncfictos  cotnctdcn  con  los  prcsisios 
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14.3.6.  Otros  procesos  auxiliares 

A  lo  Largo  dc  todo  el  cklo  de  vida  de  la  hate  de  datot  se  dcbcrS  control*  b 
formacidn  que  precttan  tanto  usuanot  informatisos  tadministrador.  .inalivut, 
programadort*.  etc.)  cotno  no  informlticot.  ya  quc  la  formacidn  cv  una  de  Uv  clam 
para  mimmi/ar  cl  rictgo  en  la  implantacidn  dc  una  bate  de  dates.  Piaitini  ( 1990). 

Esta  formacidn  no  ce  pocdc  banar  umplemente  cn  cursot  sohre  el  producto  que  it  ’ 
cui  mualando.  moo  quc  Mick  ser  prccita  una  formacidn  dc  hate  quc  retofc* 
imprcxcindiblc  cuando:  «e  pasa  de  trabajar  cn  un  entomo  de  archive*  orientals  d 
proccxo  a  un  entomo  de  haves  de  datot.  por  lo  quc  tuponc  de  "cambio  fikwdfWo";  lo 
mismo  pocdc  decirsc  si  sc  camhia  dc  tipo  de  SGBD  (por  ejcmplo.  de  relational  a 
oocntado  a  objctov* 

Hay  que  lencr  en  cucnta  quc  utuariot  poco  formados  conttituycn  uno  dc  loi 
pcligrot  mat  importantes  dc  un  viuema  Eua  formacidn  no  dcbcrfa  limitane  al  ku 
de  lav  basec  dc  datos.  vino  quc  tendrfa  que  vcr  cornplc  men  Lada  con  formacidn  rritem 
a  lot  concept ov  de  control  y  segundad 

Adeinav  el  auditor  tcndrl  quc  revivar  la  documcntacidn  que  ve  produce  a  lo  largo 
de  todo  el  proccto.  puya  verificar  si  cs  sufioente  y  si  tc  ajuua  a  lot  rstlndtftf 
ctublccidot  por  la  mctodologia  adopt ada  en  la  empreta. 

A  Cvtc  rcspccto  resulu  muy  import  ante  quc  tc  haya  Ikvado  a  cabo  to 
ateguramiento  de  calidad:  vdate  C'apitulo  16.  lo  ideal  tcrla  que  en  la  propia  empreta 
cuMiera  un  grupo  dc  calidad  que  tc  cncargara.  entre  otrat  cotat.  dc  ategurar  la  caltdaJ 
de  lot  diteAot  de  hatet  de  datot.  Et  cierto  que  cxistcn  pocat  "medidat"  dc  calidad 
pan  una  bate  dc  dalot.  de  lodat  mane  rat.  hay  etc  rut  tecmcat  bauantc  difundidat  qoc 
tc  pueden  aplicar  a  una  bote  de  datot  cotno  et  la  teoria  de  la  normal  i/acidn. 

14.4.  AUDITORfA  Y  CONTROL  INTERNO  EN  UN  ENTORNO 
DE  BASES  DE  DATOS 

Cuando  el  auditor,  tc  encucntra  cl  sistcnu  cn  cxpiotacidn.  debera  ettudur  d 
SGBD  y  tu  entomo.  Como  tc  scdala  cn  McnLut  (1991).  ~en  el  detarroUo  y 
mantenimiento  de  tiuemat  informant os  en  entomos  de  BP.  deberian  contiderane  el 
control,  la  integridad  >  la  teguhdad  de  lot  datot  compamdot  por  multiples  utuariot 
Esto  debe  abarcar  a  todot  lot  componentet  del  entomo  de  BP".  El  gran  problcnu  de 
lav  hate*  de  datov  et  quc  tu  entomo  cada  vcr  et  mis  compkjo  y  no  puede  limitane 
>dk>  al  propio  SGBD.  En  la  figura  14.6  tc  muettra  un  potiWe  entomo  de  bases  de 
datos  cn  cl  que  aporecen  los  clement  os  mis  usualet. 
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Ftgura  14.6.  Fiuomo  dr  base  de  dalot 


14.4.1.  Sistema  de  Gestidn  de  Bases  de  Datos  (SGBO) 


Eotrc  lot  componcntcs  del  SGBD  podemos  dextacar  cl  nikl.-o  (kernel),  el 
atilogo  Icomponemc  fundamental  para  ategur ar  la  seguridad  de  la  bate  de  dates).  lat 
•blxUdct  para  cl  adinimstrador  dc  la  hate  «Jc  data*  (enue  las  que  sc  suclen  cncontrur 
t^urut  para  crcar  usuariov  coocedcr  pnvilcgios  y  resolver  otra.%  cuestamc*  relatival  a 
U  confidencialidad);  lax  quo  vc  cncargan  de  la  recupencidn  de  la  BD:  rcarranque. 
coptas  de  respaldo.  archives  diaries  (log),  etc.  >  algunas  funciones  de  auditoria.  asi 
cano  lot  lenguajcs  de  cuarfa  gencracidn  1UG1  que  incorpora  el  proptoSGBD. 


En  cuarao  a  las  funciones  de  auditoria  que  ofrece  el  prop*o  ntfenu.  pricticamentc 
Bdot  lot  produclox  del  mercado  permiicn  registrar  c  terras  operacinnes  reali/adas 
afire  la  base  de  daios  en  un  archivo  (o  en  un  con;  unto  de  lablas)  de  pteas  de  auditoria 
!  (audit  trail).  HI  propto  Modelo  de  Keferencta  de  Gcstidn  de  Dates  -ISO  (1993  b- 
ootidera  las  pittas  de  auditoria  como  un  elcmcnto  esencial  de  un  SGBD.  scAalando 
|  "W  requisite  para  la  auditoria  es  que  la  causa  r  el  efecto  de  tados  los  cambios  de 

L 
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El  auditor  debcri  rcvisar.  pof  tanto.  la  utili/acidn  de  todu  las  herrnmicntas  qae 
ofrccc  cl  propio  SGBD  y  Us  political  y  proecdimientos  i|uc  sobrc  su  utiliuctdn  ktjt 
dcftnido  cl  adminixtrador  para  salorar  m  von  suficicnics  o  si  dcben  scr  mcjoradot. 


14.4.2.  Software  de  auditoria 

Son  paquctcs  que  pucdcn  cmplcarsc  para  faciliur  U  labor  del  auditor,  cn  cumioi 
la  extraccidn  dc  dal  os  de  la  base,  el  scguimicnio  de  las  (ransacaones.  duos  de  prat*, 
etc.  Ilay  umhiOn  productos  mu)  iMcrcsantcs  que  periniten  cualrar  datos  de  tltfereeeei 
eniornos  permittendo  rcali/ar  una  verdadera  “auditoria  del  date". 


14.4.3.  Slstema  de  monitorizacidn  y  ajuste  (tvning) 

F.sie  lipo  de  tisiemas  complcmcntzn  las  facilidadcs  ofrccidax  por  el  propio 
SGBD.  ofrcctendo  mayor  informacisVt  para  optimizer  el  sitorma.  Ilcgando  a  ter  ea 
determinadas  oeasiones  verdaderos  siucma*  expert  os  que  preporviooan  la  cttaKtun 
dprima  de  la  base  de  dates  y  de  ciertos  pardmctro>  del  SGBD  y  del  SO. 

La  oprimi/acidn  de  la  base  de  daios.  como  ya  hemos  setalado.  es  fundamental 
pucsto  que  si  aettia  en  un  entomo  concurrcnic  puede  dcgradarc  ficilmentc  el  nivel  de 
scrvicio  que  haya  podido  cstablcccrsc  con  los  usuanos. 


14.4.4.  Sistema  Operativo  (SO) 

El  SO  es  una  picra  clave  del  entomo.  puesio  que  el  SGBD  sc  apoyari.  en  mayor 
o  tnenoe  medida  twrgdn  se  irate  de  un  SGBD  independieme  o  dependieniel  en  lot 
services  que  le  ofrczca:  el  SO  en  cuanto  a  control  de  memora.  gcsttdn  de  ireat  de 
almaccnamicMo  intcrmcdio  ( buffer i).  manejo  de  errores.  conrol  de  confidcncialidad. 
mccanismos  de  interbloqueo.  etc.  Desafonunadamenie.  el  aodiiur  inlormdt>ca  tiene 
serias  diftculudes  para  controLar  de  mancra  rigurosa  la  intert*/  entre  cl  SGBD  y  el 
SO.  debido  a  que.  en  pane,  conslituyc  tnformacidn  reservada  dc  los  fabricante*  de  lot 
productos.  ado  mis  de  rcxjucrir  unos  conocimiento*  excepcicnales  que  entran  en  ei 
camps'  dc  la  tdcnica  de  siMcmas.  vdase  Capflulo  15. 


14.4.5.  Monitor  de  Transacciones 

Algunos  autorcs  lo  incluyen  dentro  del  propio  SGBD.  pcn>  actualmente.  puede 
constderarsc  un  elemcnio  mds  del  entomo  con  responsabilidadrt  de  conftdencialidad  > 
rendimiento. 
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14.4.6.  Protocolos  y  Sistemas  Distribuidos 

Cada  vc/  mis  vc  cvii  accrdvcndo  a  lav  bases  dc  datos  a  iravCs  de  redes.  con  lo  que 
d  nesgo  dc  violaci6n  dc  la  cooTidcncialidad  c  inlcgridad  vc  accntda.  Tamhkn  lav 
bases  dc  datos  divtnbuidav  pucdcn  prcscntar  graves  nesgos  dc  teguridad. 

Moeller  (1989)  csublece  cinco  objetivos  dc  control  a  la  hon  dc  revisar  la 
dntnbucidn  de  datov: 

1 .  HJ  sistema  dc  proceso  divtrtbuido  dchc  letter  una  funcidn  dc  adminiuracidn  dc 
datos  ccntrali/ada  que  estable/ca  estindares  generates  para  la  diMnboodn  dc 
dal  os  a  travCs  dc  las  aplkactonev 

2.  Deben  estabkeerse  unas  funoooev  dc  admimstracidn  dc  dal  os  y  dc  base  dc 
dal  os  fumes,  pan  que  pstestan  conlrotar  la  distribocidn  dc  k»  datos. 

3.  Deben  exitlir  pi  Slav  dc  auditorta  pan  todas  las  actividades  rcali/adas  por  las 
opticas  tones  contra  sus  propias  bases  de  dal  os  y  otras  compartidas 

4.  Deben  cxsstir  comrolcs  software  pan  prevenir  inicrferencias  dc  actualmcidn 
sobre  las  bases  de  datos  cn  usicmax  distribuidos. 

5.  Deben  reali/arse  las  consider acionct  adccuadas  dc  cosies  y  bcneficios  cn  cl 
diseflo  dc  emornos  distribuidos. 

Respecto  a  este  Ultimo  punto.  es  importante  dcstacar  edmo.  por  ejemplo.  mu> 
poc as  empresas  Kan  considendo  rentable  implements  bases  dc  datos  “real  mettle- 
dntnbuidas:  siendo  bastantc  mis  ccoodmko  y  usual  acluali/ar  bases  de  datos 
distnboidis  mcdiante  transfereneia  de  archives  y  proccsos  por  lotcs  (batch),  que 
haccrto  cn  linea 


14.4.7.  Paquete  de  seguridad 

F.xisten  cn  cl  mere  ado  vanos  product  os  que  pcrmiten  la  implanlacidn  cfcctisa  dc 
um  polfuca  dc  vegurtdad.  pucsto  que  ccntrali/an  cl  control  dc  acccsos.  la  definicidn  dc 
prntiegios.  perfiles  dc  usuano.  etc.  Un  grave  inconscnienie  de  este  tipo  dc  software 
es  que  a  veces  no  sc  cncucntn  bscn  true  grade  con  cl  SCBD.  podicndo  resultar  poco 
dtil  su  implantacido  si  levs  usuartos  pueden  "saltarse"  los  controics  a  tnsds  del  propio 
SGBD. 
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14.4.8.  Oiccionarios  dc  datos 

F.tlc  lipo  dc  MUcnus.  quc  cmperaron  a  implanUrvr  cn  lot  aikos  setcnta.  UfflWs 
jucgan  tin  papcl  primordial  cn  cl  entomo  dc  lot  SGBD  cn  cuanto  a  la  mtcgraciiki  de 
compoiventes  y  al  cumplimieneo  dc  la  scgundad  dc  kM  datos.  tease  Piattiaa  j 
Oaryanani  (1995). 

Lot  propios  diccionano*  te  pucdcn  auditor  dc  manera  aniloga  a  las  bates  dc 
datos  (pocsto  quc  »on  hates  dc  “metadatos").  las  difcrcncias  entre  unos  y  ex  rut.  ret  idea 
prtncipatmcmc  cn  quc  tin  fallo  cn  una  hate  dc  datos  pvede  atcnlar  contra  la  intcgridid 
dc  lot  datos  y  produeir  un  mayor  net  go  financicro.  mientras  quc  un  fallo  rn  ua 
diccionano  (o  repotnonot.  tuck  Ikvai  conti go  una  pdrdida  dc  inlcgridad  de  lot 
proccsov.  siendo  mi*  pcligrotos  lot  fallos  cn  lot  diccionano*  puesto  quc  punka 
introducir  enoees  dc  forma  rcpcotivo  a  lo  largo  del  (tempo,  quc  son  mis  di Holes  de 
dctcctar.  Perry  ( 1991 ). 

Para  atpcctos  rclactonadot  con  las  facilidadct  dc  control  y  audiioria  de 
dtcctonano*  dc  datos.  ecmitimos.  al  lector  a  Narayan  ( 1988). 


14.4.9.  Herramientas  CASE  (Computer  Aided 

System/Sottware  Engineering).  IPSE  (Integrated 
Project  Support  Environments) 

Desde  la  ddcada  pasada  venimot  asistiendo  a  una  gran  difusxki  dc  cue  bpo  de 
henamienut  como  topottc  al  ditefto  y  conccpcidn  de  tistcmas  dc  informaetdn.  Wase 
Piattim  y  Daryanani  (1995).  Suclcn  llcvar  incoeporado  un  diccionano  dc  dtiot 
(cnciclopcdia  o  rcposiionos  mis  amplio  quc  lot  mcncionados  an(cnormcn(c  cn  lot  que 
tc  almaccnan  ademis  dc  informackki  sob  re  datos.  programa*.  usuarios.  etc.,  1m 
diagramas.  matrices  y  grafos  dc  ayuda  al  ditefto  Consiituycn  una  herranuenta  daw 
para  quc  cl  auditor  pueda  revisar  cl  ditefto  dc  la  hate  dc  dalot.  compeohar  si  tc  ha 
cmplcado  corrccumcntc  la  metodologfa  y  ategurar  un  nitel  miniroo  dc  calidad. 

En  Piattim  y  Kamot  ( 1995)  tc  cvpooc  edmo  Ikvar  a  caho  la  auditorfa  dc  kn 
entomo*  CASE/IPSE. 


14.4.10.  Lenguajes  de  Cuarta  Generacion  (L4G) 
independientes 

A  demit  dc  las  herramientas  que  ofrczca  el  propio  SGBD.  cl  auditor  se  puede 
cncontrar  con  una  amplia  gama  de  gcncradorcs  dc  apticacionc*.  de  format,  de 
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■formes.  etc.  que  actiian  sober  la  Kate  dc  dal  os  y  qoc.  poc  Unto,  tanhtrt  son  un 
(irmento  imporumc  a  consider  a/  cn  cl  entomo  del  SGBD. 

En  Moeller  ( 1991 )  se  ofrccen  varios  oKjetivos  dc  control  pan  lot  L4G.  cnire  lot 
8*  desiacan  los  uguienlev 

-  El  L4G  debe  ter  capaz  de  operar  cn  el  entorno  dc  procoo  de  datos  con 
controlcs  adccuados 

-  lut  apltcacioncs  desarrolladas  con  L4G  deKen  seguir  los  mismot 
procedinuenios  de  autoruacidn  y  pcticidn  que  los  proycciot  de  dcvtrrollo 
convenckwaks. 

-  Las  aplicacioncs  desarrolladas  con  MG  deKen  sacar  vrnuja  de  Us 
caracterfstkas  incluidas  en  lot  mismot. 

En  cfecto.  uno  de  los  pcligrot  mis  graves  de  los  MG  es  que  so  se  apliquen 
coatroles  con  cl  mismo  ngor  qoc  a  los  programs  devanollados  co*  lenguajes  de 
irreera  gcncracidn  Esto  puede  dcKerve.  cn  parte,  a  una  inadecuada  micrfa/  cnire  cl 
L4G  y  cl  paquete  de  teguridad  y  a  la  falu  de  eddigo  fuente  en  el  tentido  iradtcional. 
qae  hacen  mis  diftcil  dc  esu  manera  el  control  de  cambios  en  Us  apheariones. 

Otros  problcnvat  atociados  a  los  I^IG  y  con  los  que  not  encontnmos 
frcvucmemcntc.  pueden  ter  su  mcficiencia  y  elevado  consumo  dc  recursos.  Us 
fcaMacioncs  que.  en  ocaskmes.  imponen  al  programador.  los  cambist  qoc  pueden 
tuponer  cn  U  metodologla  de  desarrollo.  etc.  Respccto  a  este  ultimo  psmtn.  muchos 
UG  tc  utilizan  en  U  actualidad  pan  desarrollar  prototipos  que  (acililaa  a  los  usuanot 
U  eipoticidn  de  mm  nccctidadcv  Moeller  (1989).  seiUU  qoc  ~el  pntotipo  de  una 
tfUtatiin  detatroUado  ton  MG  debt  pntporaonar  tufitiente  detalle  pan i 
nrmplatar  lot  dotumentot  etchioi  atotiadot  a  lot  procedunieniot  eomentionales 
it  la  netodologia  de  detatroUo  de  tittemat 

FJ  auditor  dcKeri  estudiar  los  controles  ihspomKIet  en  los  MG  atilizadot  en  la 
aepresa.  analmndo  con  atcncidn  si  permiten  construir  procedinuenios  de  control  y 
aedrtorfa  deniro  dc  las  aplicaciooes  y.  cn  caso  negativo.  rccocncndar  »u  contuucciOn 
ank/ando  lenguajes  de  tcrccn  gencraeidn. 


14.4.11.  Facilidades  de  usuario 

Con  la  aparicidn  dc  interfaces  grificas  ficilcs  de  utar  (con  menus,  raldn. 
tenunjs.  etc.)  se  ha  dctarmlUdo  toda  una  terse  dc  herramientas  qae  permiten  al 
zsuino  final  acccdcr  a  lot  dal  os  sin  letter  que  conoccr  U  sinuxit  de  les  lenguajes  del 
SGBD  El  auditor  dcKeri  intcstigar  Us  medidit  de  seguridad  qoc  ofrccen  estas 
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herramientas  y  bayo  qu<5  condkiones  han  sido  mstaladas;  lav  herramientas  dc  cue  upo 
dcbcrian  "protegee  al  usuario  dc  sus  propios  crrorcs". 

lav  aplicacioncs  desariolladas  emplcando  facilidadcs  dc  usuario  debcn  tcgau  la 
mismos  sdlidos  principios  dc  control  y  tralamicnto  dc  crrorcs  quc  cl  rcuo;  MocOs 
<  19X9)  dcstaca  tambkn  otros  dos  importanlcs  objetisos  dc  control: 

-  la  documcnlacidn  dc  lav  aplicacioncs  dcvarrollada*  por  usuariot  finale*  debt 
set  suficicmc  para  quc  tamo  cue  usuano*  principal?*  cotno  cualquier  utw 
puedan  operar  y  niantcncrlav 

-  Los  cambio*  dc  cuas  aplicacioncs  requieren  la  aprobacidn  dc  la  dtrccctOo  j 
deben  documentors*  dc  forma  complcta 

En  cvtc  apartado  pudemos  incluir  tambiln  las  difcrtntes  facilidadcs  quc  ofrcces 
algunos  SGBD  quc  permten  su  concxnSn  con  paquetev  ofimitico*  (por  cjcmplo.  bojas 
dc  cikulo).  quc  pueden  acccdcr  a  la  base  dc  datos  c  incluso  actuali/arla  En  cstc  caw 
cl  auditor  debe  prestar  especial  atencidn  a  los  proccdimkntos  dc  carga  y  dcscarp 
( up/otuhnic/iUmrtloadtnx)  dc  datos  dc  la  base  aAJesdc  los  paquetev  olimjticoi; 
comprohando.  por  cjcmplo.  si  sc  puede  actuali/ar  la  base  dc  datos  desde  cualquicra  de 
Cstos  o  si  la  dcscarga  sc  rcali/a  con  datos  corrcctamcntc  actualirados  ( “descarga  dc  la 
datos  correct  os  en  cl  mo  memo  corrccto"). 


14.4.12.  Herramientas  de  "minerta  de  datos" 

En  los  dltiinos  aftos  ha  cxplosionado  cl  fendmeno  dc  los  almacencs  dc  duos 
datawarthousfs  v  las  herramientas  para  b  cxplotacidn  o  “mincria"  dc  data 
idaiamining).  Hstas  herramientas  ofrcccn  soportc  a  la  toma  dc  dccisioocs  sohre  data 
dc  calidad  integrodo*  en  cl  almacCn  dc  datos.  En  el  Capftulo  20  sc  revisa  la  auditorii 
dc  los  EIS/DSS.  cuyos  pnncipios  sc  pueden  aplicar  a  las  herramientas  dc  "mincria": 
dchiCndose  control ar  la  polftka  dc  rcfrcsco  y  carga  dc  los  datos  en  cl  almacCn  a  pan* 
dc  1st  hiiwi  dr  itaim  ivjvrw-inrvstc*  niilniln.  »i<  rnmn  la  niurneia  dc  mceanitmM 
dc  rctroalimcntackn  <Jetdba<k)  quc  modifican  las  bases  de  datos  opcracionalcs  a 
partir  dc  los  datos  del  almacCn: 


14.4.13.  Aplicaclones 

El  auditor  deberi  control  ar  quc  las  aplicacioncs  no  atentan  contra  la  integridad  de 
h»  datos  dc  la  base,  vdasc  Captiulo  19. 
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14.5.  TECNICAS  PARA  EL  CONTROL  DE  BASES  DE  DATOS 
EN  UN  ENTORNO  COMPLEJO 

Como  hemot  visto  cn  el  cptgrafc  anterior.  cxisten  mucbos  elcmentos  del  (Motno 
M  SC  BO  que  mfluyen  en  la  tcgundad  e  intcjtndad  dc  lot  datos.  en  lot  que  cada  ur*o 
>c  apoya  en  la  operacidn  cocrccta  y  predccihte  de  otros  Como  tc  dettaca  en  CLARK 
ft  of.  (1991).  el  efccto  de  toclo  esto  et  " debilnar  la  tegundad  global  del  interna, 
rednaendo  la  fiabtlfdad  e  m irodaeiendo  an  um/unto  de  cemfroUi  deKoordinados  V 
Ktupudoi.  Jif  <  iles  de  gettionar'.  etU  tituacidn  te  accntda  aim  mis  ti  Ion  diferentcs 
somponeniet  provienen  de  ditlintot  (abnc  antes  que  te  adapun  a  estindares  muchas 
wet  contrapucMos 

La  direcctdn  de  la  empreta  tiene.  por  unto,  una  retpontabtlidad  fundamental  por 
te  que  te  refiere  a  la  coordtnacidn  de  lot  dituntos  elementot  y  a  la  aplicacidn 
ccotittenlc  de  lot  controlet  de  teguridad  Para  llcvar  a  cabo  esta  labor  te  deben  fijar 
chramente  las  rcspontabiltdadet  tobre  lot  diferentes  componentcv  utili/ar  informet 
de  eiccpoiin  efectivot  que  permitan  monitonur  lot  controlet.  etublecer 
proccdimicntot  adecuadot.  implanur  una  gettidn  ngurosa  de  la  configuracidn  del 
uaema,  etc. 


Cuando  el  auditor  te  enfrenu  a  un  entomo  de  ette  tipo.  puede  emplcar.  entre 
.■cat.  dot  t^cn teas  de  control: 


14.5.1.  Matrices  de  control 

Ettas  matrices,  como  la  que  aparece  cn  la  figura  14.7.  sirvcn  para  identificar  lot 
tonjuntox  de  da! us  del  SI  junto  con  text  controlet  de  tegundad  o  integridad 


hgura  14. 7.  Main;  de  control 

Lot  controlet  te  clasifican.  como  puede  obtervanc.  en  dctectisos.  pretentivot  y 
correct!  vot. 
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14.5.2.  Analisis  de  los  caminos  de  acceso 

Con  c>Ia  tdcnica  *c  documcnlan  cl  flujo.  almaccnamiento  y  proccsamicnio  de  lot 
datos  cn  todas  Us  fiscs  par  las  que  pasan  desde  cl  mixnro  inomcnto  cn  qoc  k 
iniroduccn.  idenhficando  los  componcnics  del  si  sterna  quc  atnviesan  (tanto  hardware 
coma  software)  y  los  tommies  asociados  (sCjsc  ligura  14.8). 


Ft  guru  14.8.  Andlisis  de  los  caminos  de  acceso.  CIAFK  el  al.  1 1991) 

Con  este  marco.  el  auditor  puede  idcntiftcar  Us  detsilicbdcs  quc  expungan  lot 
datos  a  ricxgox  de  iniegndad.  confidencialadad  y  scgundaJ.  las  distintas  inwrfacn 
entre  componcntes  y  U  complcodn  de  los  cootroles 

Ho  U  praclica  sc  suelcn  utili/ar  conjunumente  ambas  &mcas.  si  bten  la  dd 
anilius  dc  caminos  <tc  acceso  rcquicre  unos  may  ores  coooomientos  tdenreas  y  te 
emplea  cn  si  sic  max  mix  complcjos 


14.6.  CONCLUSIONES 

Como  seAala  BRATIIWAITE  (198$).  "Us  tecnologui  de  bates  de  datos  kt 
afectado  al  pope I  del  auditor  Memo  mcis  <jue  a  cuaUptier  otro  individuo.  Se  its 
ccmvenido  en  estremadamente  dificil  auditor  alrededor  del  r omputador" .  Esto  se 
dcbc.  como  homos  vista,  no  sdlo  a  la  complcpdad  de  la  propu  tccnologia  de  bases  de 
dalos.  vino  tambidn  a  que  el  entomo  del  SGBD  ha  ido  crccicndo  de  maocri 
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extraordinaria  cn  leu.  Ultimo*  aftos,  por  lo  que  rrqutcrc  personal  cspcculi/ado 
tauditores  inlocmiticos) 

El  gran  numcro  dc  COOpOMMM  que  forman  dicho  entorno  y  uiv  interfaces  hacen 
necesario  que.  antes  dc  empezar  una  revisidn  dc  control  intemo.  el  auditor  deba 
cuminar  cl  cnlomo  cn  el  que  opera  el  SGBD;  que  csti  compoesio.  cotno  hemm  virto. 
pew  cl  personal  dc  la  empresa  (dirccctdn.  mformiticos  y  usuarios  finales),  hardware, 
software.  etc. 

I:.l  auditor  debe  scriftcar  que  lodes  cstos  componentcs  trahajan  conjuma  y 
ccocdinadamente  para  avegurar  que  Ion  sistemas  dc  bases  de  datos  cootmdan 
osmpliendo  los  objetivos  dc  la  empresa  y  que  sc  cncucntran  control  ados  dc  inanera 
efectiva. 

Por  otru  lado.  hetnos  visto  edmo  las  considcracioncs  de  auditoria  deberian 
■cluirsc  en  las  distintas  fases  del  cido  de  vida  de  una  base  de  datos.  siendo  muy 
icforuncc  que  los  auditorcs  panicipcn  cada  *ez  mis  cn  cl  pfoccso  dc  desarrollo. 
dsminuyendo  asi  ciertos  cosies  y  haoendo  "mis  products  a"  su  labor  (la  dircccidn  de 
l»  empresas  no  siempre  “ve“  la  labor  dc  auditoria  y  control  cotno  rcalmcmc 
producliva.  asumkndola,  la  mayoria  de  las  veces,  como  un  gasto  necesario). 

Por  lo  que  respccta  al  future  dc  csta  area,  con  la  aparkion  de  nuevos  tipos  dc 
buses  dc  datos.  como  las  aclivas.  onentadas  a  objetos.  temporalcs.  multimedia, 
imkidiincnsionalcs.  etc.,  vease  Piattini  y  Diaz  (2000).  y  la  CTceiente  distribucidn  dc 
bs  dates  (bases  dc  datos  fedcradas.  mulubases  dc  datos.  Web.  bases  de  datos  mdvtle*. 
ttc.l.  aparccen  nuevos  riesgos  dc  interns  para  el  auditor  como.  por  ejcmplo.  cn  el  irea 
de  seguridad.  vdasc  Castano  er  al.  (1995).  o  cn  las  mctodologias  dc  dcsarmllo.  No 
ehidrmos  prccisamcntc  que  uno  de  los  objetivos  de  control  que  sc  (tala  la  ISACF 
(1996)  Cs  que  la  mctodologia  de  dcsamillo  debe  actuali/anc.  >  en  cstos  moincntos 
ctisten  pocas  propocsias  que  abarquen  las  noevas  tecnologias  dc  bases  dc  datos. 

En  el  fututo  cs  prcvisiblc  que  los  SGBD  aumenten  cl  nilmcro  dc  mccamtmos  dc 
ccntrol  y  scguruUd.  operando  de  forma  mis  integrada  con  el  resto  de  componentcs. 
Para  cllo.  cs  fundamental  cl  desarrollo  y  la  implantacidn  dc  estindarcs  y  marcos  dc 
Rfcrencia  como  los  propucstos  por  ISO  y  por  cl  OMG  (COR BA),  que  facilitcn  unas 
utwfa.es  claramcnte  dcfimdas  entre  componentcs  del  ustema  de  informackWi.  Para 
emseguir  cue  objetivo  es  impo  runic  que  las  institucioncs  y  personas  cncargadas  dc 
drfmir  cstos  estindarcs  tomen  conciencia  de  la  importancia  del  control  y  la  auditoria  e 
nplcmcnicn  los  mccantsmos  adccuados 

Dcsafortunadamcntc.  como  nos  cnscAa  la  evperiencu.  los  sistemas  aumentan  su 
conpiejidad  y  alcancc  con  mayor  rapidez  que  los  procedimientos  y  tdenkas  para 
CMrofarlo*. 
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Por  ultimo.  qucremos  dcstacar  la  importance  cada  dia  mayor  de  una  diwiphu 
nils  ample  quc  la  dc  base*  dc  datos:  la  de  GeUido  de  Recursos  de  Informacido  (oea 
sus  MglaN  ingle  sav  IRM.  Information  Resource  Mana/sement).  quc  nacc  prcciumeite 
con  la  vocacidn  intcgradora  ncccsaria  para  lograr  convertir  los  datos  cn  el  actiso  mfe 
importance  de  las  empresas;  lo  quc  Iteva  consign  quc  las  medidas  de  control  y 
auditors*  pa  sen  a  un  pnmer  piano  dentro  de  las  actividades  de  las  empresas. 


14.7.  LECTURAS  RECOMENDADAS 

Brathwaitc.  K.  S.  (1995).  Data  Administration:  Selected  Topics  of  Data  ContnL 
Nueva  York.  EhL'  U.  John  Wiley  &  Sons. 

Castano,  S..  Fugmi.  M  .  Martclla.  G.  y  Samarali.  P.  (I99S).  Database  Security. 
Addison-Wcsley.  Wokingham.  Inglatcrra 

(lark.  R.  et  al.  (ed.)  (1991).  Ihe  Security.  Audit  and  Control  of  Databases.  Avebury 
Technical.  Aldershot.  Gran  BretaAa. 

I)e  Miguel.  A.  y  Piattini.  M.  (1999).  Fundamenios  y  modelos  de  bases  de  datos.  2.' 
Ed.  Ra-Ma.  Madnd 


14.8.  CUEST10NES  DE  REPASO 

1 .  EstaMcnca  objetivos  de  control  relativos  al  discllo  dc  una  base  dc  datos. 

2.  Defina  un  proccdimiento  para  la  adquistcidn  de  SGBD. 

3.  ^Cuile*  son  las  diferencias  inis  import  antes  entre  las  funciones  dc  on 
adrninistrador  de  datos  y  las  dc  un  administrador  de  bases  de  datos? 

4.  ,,Por  qud  results  tan  crftico  un  diccionario  de  datos? 

5.  i.(^si  cont roles  establecer(a  sohre  la  distribucidn  dc  listados  extrafdos  a  partir  dr 
la  base  dc  datos? 

6.  Objetivos  dc  control  sobre  la  formacidn  del  personal  rclacionado  con  cl  SGBD 
(usuarios  finales,  admimstradores,  di.seAadorcx.  etc.). 

7.  Analicc  el  grade  de  ajuvtc  cxistcnlc  entre  I  os  paquetes  dc  seguridad  del  mere  ado 
(TOP  SECRET.  RACF.  etc.)  y  los  SGBD 


iQ u<  ncvjcos  aJicuMulcx  imptic  a  el  See  ho  dc  diunbuir  las  haves  de  datos? 


,.yoe  corn  roles  evtablcceria  para  devarrollov  quo  cmpleen  lenguajev  sivualcv  que 
acccdcn  a  haves  dc  dalos? 

Anal  ice  cl  toportc  que  ofrcccn  las  herromien'av  dc  nuneria  dc  datos  al  auditor 
informidco. 
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CAPfTULO  15 


AUDITORlA  de 

TfeCNICA  DF.  S1STEMAS 


Julio  A,  No\oti  Btrme/o 


15.1.  AMBITO  DE  TECNICA  DE  SISTEMAS 

Cuando  <c  baMa  de  usiemas.  por  deltnicidn.  *e  trata  de  un  conjunto  de  elemcntos 
quo  cooper  an  cn  un  todo  vmtaico  En  ocastoncs  ewn  elemcntos  x  imbrican  umn  en 
otros  para  intcgranc  mejor  cn  el  conjunto.  de  nunera  que  a  veces  resulta  diftcil 
adenufWar  los  components  parcialc*. 

H'te  e\  el  caw  de  la  T&nica  de  Sistcmas  pucsto  que,  segiln  sc  analicc.  podrfa 
aharcar  pricucamentc  la  total idad  del  procew  infomvitico  como  quedar  redoc  *do  a 
una  parcela  rnuy  preosa  y  con  un  dcscmpcAo  muy  rcstringido. 

Para  ilustrar  cl  primer  supoesto  saiga  como  ejemplo  la  titulaoOn  que  la  primera 
escuela  cspcciali/ada  (INSTITUTO  DE  INI-ORMATICA.  19701  ernpe/0  a  otorga r  a 
qutencs  acababan  tin  cstudlus  un  supcrai  el  quimo  mVo.  TCCNK'O  DE  SISTEMAS. 
Segxin  aquel  plan  de  c studios,  el  TS  abarcaba  todo  el  Smbito  de  la  tn/ormitica. 
eiisticndo  ademUs  Ires  cvpecialidades  que.  M  no  me  fatlan  los  dot  os  de  que  di  sponge, 
eran: 


SISTEMAS  llSICOS 
INFORMATICA  FUNDAMENTAL 
informAtica  De  CESTION 

Scgun  csto.  tan  TS  (TCcrnco  de  Sistemas)  era  la  persona  espccialista  en  Hardware 
iSoteinas  Hsicos)  como  el  que  se  dedicaba  al  dc variolic  de  Lenguajcs  Fomules  o 
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Autdmatas  (Informdtica  Fundamental)  coino  d  que  trahajaha  Aplicacioeci 
(Informitica  de  Gextidn) 

No  obstante.  la  cvducuSn  dc  la  Informitica  ha  obligado  a  un  grade  tal  de 
cspcciali/acidn  que  Comunicacionex.  Sistemas  Operatises.  Scgundad  y  Bases  de 
Dales  han  ncccsitado  expertos  en  ircas  muy  concretas.  dejando  la  ftgura  de  TS 
relacionada  cxclusivamente  con  el  Sistcma  Operatise,  no  sin  habilitar  -naturalmeme- 
especialistas  en  Comumcacioocs.  Scgundad  >  Bases  de  Dates  (administradorex  de 
exas  actividades  y/o  cnlncnosl  F.xtc  grado  de  cspccializacidn  ha  sido  necesano.  sober 
lodo.  en  centres  grandes  en  que  las  ureas  se  han  hecho  mix  complejai  >  laborious.  y 
en  conxecucncia.  no  dcxcmpchaMcs  per  una  unica  persona.  Hn  ocasiones  la  necesidad 
dc  administrar  con  rigor  detennmadas  instalaciooes  ha  llegado  incluvo  a  error 
depanamentos  con  las  personas  que  colabor  an.  en  la  realiucttin  del  Irahqo 
corrcspondientc  a  la  funcidn  coocreta. 

Id  despeguc  de  la  Mkroinformitica  y  las  Redes  generan  unon  nuevos  emomos  de 
trabajo,  en  algunos  cases  unices  tempresas  mis  pequeAas)  y  cn  oeros  me  re  lades  cos 
los  consencionalc*.  pero  que  rcquicrcn  una  preparacidn  y  dedicacien  cxpcclfkas.  Ha 
cste  sentido  ofmox  Hu  Mar  cada  dfa  (incline  cn  anuncios  de  prcns.it  de  TS  de 
Micromformdt»ca  o  TS  de  Redes. 

Parccc  pues  que  no  es  fjkcil  determmar  el  imbuo  de  la  tarta  dc  TS.  pero  maestro 
compromise  con  k>  que  queremox  exenbir  nox  obliga  a  acotar  con  claridad  la  matena 
en  cucxtidn  para  podcr  esublcccr  despuds  las  correspond icntex  actividadcx  de  control. 

Traundo  de  utili/ar  cl  sentido  comun  y  la  praxis  habitual  determinariamos  coos 
imbiio  de  la  urea  de  TS  la  infraestructura  informitica.  es  deeir  el  conjunto  de 
insulaciones.  cquipox  de  proeexo  y  cl  llamado  software  dc  base.  Vamox  a  puntualirar 
lo  que.  segtln  mi  cnlcno.  debe  uicorporar  cada  urvo  de  estos  apart  ados 


Iruialaciones 

Estc  a  part  ado  incluirfa  salas  de  proceso.  con  sin  sivtemas  de  xegundad  y  control, 
axf  come  elementox  de  coocxidn  y  cablcado.  es  deeir  los  elementos  base  para 
acondicionar  los  componcntcs  del  apartado  xiguiente. 


Equipos  de  proceso 

Aquf  c  start  an  los  computadores  (main,  mini  y  micro),  axf  como  sus  penfdrico* 
(panullav.  unpresoras.  unidadex  de  cinta...)  y  los  dispositive*  dc  conmutacidn  y 
comunicaciones  (routers,  mddems.  fradv.) 
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Snfr»xirt  de  Batr 

Sc  compose  dc  los  Sistemas  Operatives,  Compilations.  Traductores  e  Intbrprctes 
dc  conundot  y  programas.  junto  con  k»  Gcvtorcs  de  Ratos  (o  sistemas  dc 
admmistracidn  dc  Bisev  de  Ratos)  y  toda  uiu  seric  dc  herramicnus  y  components 
atmliares  c  interroedtox  (herrurmcnus  de  desarrollo.  facilidadcs  de  cxplotacidn  como 
pianificadoecx.  paquctcs  de  scguridad.  middleware... 

Si  cottsidcramo*  infracstnictura  todo  cuanto  hcinos  dctallado.  ex  decir.  lodo  lo 
neccsario  para  que  las  Apltcac  tones  funcionen  pues  no  olvtdemos  que  son  el  obyetivo 
de  nuestros  sistemas-.  cstablccerfamos.  vgun  mi  criicrio.  el  imbito  de  TS. 

No  obstante,  dado  que  existen  en  eua  public  AciOn  capftulos  cspccificos  dedteados 
a  Aoditorfa  Ffsica,  de  la  Exploucidn.  dc  Bases  de  Ratos,  dc  la  Scguridad  y  de  las 
Redes,  intentaremos  centramos  cn  cl  a  part  ado  del  Sitlcma  Operaiivo  y  las 
Comunicacionex  como  aspectos  no  cubiertos  en  los  apartados  mcnctonados. 


15.2.  DEFINIClbN  DE  LA  FUNCldN 

Parecc  que  antes  dc  entrar  en  la  Auditoria  de  Tdcntca  de  Sistemas.  deberfamos 
dcfinir  pnmero  la  (area  a  aoditar  como  una  actividad  mformitica  que  requiere  un 
determinado  dcxcmpcAo  ptofeston.il  para  cumplir  unos  objetivos  precisos. 

Siguicndo  este  esquenu  y  buscando  un  cnunciado  simple  podemos  decir  que 
Tdcnxa  de  Sistemas  consistc  en  la  actividad  a  descmpcAar  para  insular  y  mantencr  cn 
adccuado  orden  dc  utili/acidn  la  infracstnictura  mfoemittca. 

Re  acuerdo  coo  lo  ya  comentado  en  el  aparudo  anterior  de  imbiio.  buscando  un 
compronuso  formal  para  seporar  las  Apltcaooocs  de  todo  lo  ncccsario  para  que  dsUs 
fcnciooco  correctamentc  y  profundtrando  en  csto  dirfamos  que  cl  funciotumiento 
cenecto  tc  caractcnraria  pot: 

•  Disponer  tidm  ten  «letntntn>  ntmaiim 

•  For  parte  de  los  usuartos  auton/ados 

•  En  cl  momento  requendo 

•  Coo  el  rendimiento  adccuado. 


15.3.  EL  NIVEL  DE  SERVICIO 

No  debemos  perder  dc  vtsu  que  cl  cumplirmento  de  tales  car  ac  ten  si  teas 
ennstiluye  el  objetivo  dc  los  SI  tSistemas  de  Informacidnl  y  que  su  consecoctdn  se 
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cxpreta  cn  tdrminov  dc  nivcl  dc  tcrvicio.  Toda  nucttrj  actividad  dcbcna  ntjg 
(undamcnuda  cn  cl  hjgro  dc  etc  objetivo  y.  UHo  lot  procedimientot  dc  acuutnta 
como  I*k  cocTctpondicMct  cootrolcv.  dctciun  icncr  como  fin  Ultimo  dacha  met* 

lintendcmov  pot  nivcl  dc  vervicio  una  vctic  dc  parimetrov  etiya  mcdicidn  cv  capu 
dc  detemunar  objetivamentc  cl  nvj)ot  o  motor  grade  dc  cficacia  del  tcrvicio  prcviada 
No  cabc  dud*  dc  que  I*  obtenodn  dc  dicho  nivcl  K  vc  aiectada  pot  cuaniis 
mcidcnciav.  dc  cualquicr  tipo.  impactcn  cn  cl  normal  dcvcnvolvinucnto  dr  la  actividad 
del  SI.  Asl.  poradav  pot  invtalacidci  dc  nuevov  ditpoutivov,  cambwn  dc  verwooev  del 
vivtcma  operative,  pucua  cn  tcrvicio  dc  nuevat  hcrramicntav.  averiat  dc  miquuu, 
(allot  dc  comenu  o  dementov  dc  acoodiciooamicnio.  arranque  o  rnodificacido  dc 
cnlacev  dc  cotnunicacioncv.  incluuUn  dc  nuevov  uvuariov  o  cualquict  lipo  dc  probvcca 
con  cl  hardware  o  cl  toflwarc  puede  degradar  cl  tcrvicio.  con  el  coruiguicntc  pcrjtnoo 
para  la  otgamucidn.  que  no  podnt  dcvarrolUr  tut  funoooct  adccuadamcntc  o  cn  d 
ticmpo  ptccivo.  con  cl  corrcvpondicnic  impacto  ccondmico  que  evto  tupone  y  que. 
general  mcnlc.  rcvultari  diffcil  dc  calcular.  pero.  cn  cualquicr  cato,  impotianic. 

EM  aparudo  dc  nivcl  dc  tcrvicio.  rcquicrc  un  tratamienio  evpeciftco.  toda  ver 
que  cn  la  bUtqucda  dc  la  calidad  vc  convtcnc  cn  el  avpccto  clave  dc  la  gettidn  dr  la 
conflguncidn  BavtaHa  deeir  que  tin  lot  clictitct  del  SI  no  dene  tentido  cl  SI.  Y  lo 
que  lalcv  clicntcv  rvcvcMtan  ev  la  garantia  dc  que  cl  SI  cumptc  vu  fuiKVe 
adccuadamcntc.  puevto  que.  cada  ver  mis.  cv  cl  fundamenlo  dc  toda  la  actividad  dc  U 
orgam/aci6n 

Digamov  para  terminal  evta  breve  incursion  cn  cl  conccpto  cxpucsto  que  b 
garantia  del  funoonamienio  global  vc  obticnr  pnmero  comiguicndo  la  dc  cada  uno  dc 
tut  clemcntov.  lo  que  not  obliga  a  dc  term  mar  lov  puntov  critic  ot  que  afcctcn  a  b 
actividad  del  SI  y  a  pnrvcr  tu  fallo  y  pJamficar  lot  controlcv  y  acoooet 
corrctpondientct  para  totla>arlo.  Comprcndctcmov  que  cv  tan  importante  dctcctar  b 
aoomali*  cn  un  elemento  dc  hardware  como  la  capucidad  dc  tubvanarla  cn  ticmpo  Util, 
pur*  lo  que  dchcrcmov  dttponcr  del  concvpombcntc  contrato  dc  avivtcncia  con  un 
provccdor  que  not  pcrmiu  rcducir.  a  lo  prcviuo.  cl  impacto  per  ticmpo  dc  inactividad 
[)rbc  aAadinc  que.  con  cvla  fllotofia.  tc  ncgocian  con  lot  utuariot  >  protecdorct  que 
rccibcn  el  tcrvicio  o  a  port  an  Ktividadev  para  tu  corutcuciUn.  acucrdot  dc  nivcl  dc 
tcrvicio  (SLA:  Stnitr  Level  Agreement)  que.  pot  un  I  ado  aveguran  a  nuettrw  clicntcv 
el  grade  dc  cficaci*  negoctado  >  exigen  a  nuevtrov  protecdorct  la  avivtcncia  requenda 
para  convcguir  lo  anterior  Hay  que  entendrr  que  cn  eviot  tcrmirvw.  vc  hahb 
comUnmcntc  dc  divpontbilidadcv  por  cncima  del  99.9*1  (tegUn  tectorev  y  grade  de 
cnticidad  dc  lov  SI  con  rclacidn  al  impacto  cn  la  organuaciUa)  lo  que  not  I  lev  aria  a  no 
tetter  intcmipcionct  durante  mi»  dc  2  horav  cn  total  cn  un  aflo  para  un  tcrvicio 
cviimado  cn  2.0(10  horat  anualcv.  Wave  que  un  total  dc  10  horav  dc  parada  cn  un  ato 
para  etc  mitmo  tcrvicio  tupoodna  una  dttpomhtlidad  del  99.5*1. 
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La  disponibilidad,  sicndo  fundamental,  no  cs  el  linko  parametro  a  medir.  toda  vez 
no  sc  trau  de  letter  un  sistema  que  respooda  durante  un  deieminado  numero  de 
torn  al  aAo.  sino  que  ademis.  debe  haccrlo  bien.  Estc  ultimo  aspccto  solo  puede 
coatprobarsc  median te  t tempos  de  rcspucsla  que  den  una  medida  de  la  ulilidad  del 
tenicio. 

La  satisfaccibn  de  los  usuanos  es  fnito  del  rcsultado  general  del  scrvkio  y 
fcpende  Unto  de  la  cficacia  de  Us  aplkacioncs  como  de  la  eficiencia  del  si  sterna 
Emc  ultimo  aspccto  esU  bien  rcprcscntado  pot  kn  parametros  de  disponibilidad  y 
tempo  de  respocsta.  pero  sc  compku  con  cl  anilisis  de  las  modenoas  originadas  pot 
U  infracvinxlura  y  las  opimoncs  de  los  usuarios  sober  cl  semcio  cn  la  parte 
comspondknic  a  esc  mismo  componcntc. 


15.4.  LOS  PROCEDIMIENTOS 

Toda  torea  otgam/ada  debe  cstor  dcscompocsta  en  una  sene  de  octividadcs  o 
tccioncs  a  real i tor  con  unos  proccdimicntos  cspccfftcos  que  garanticen  su  calidad  to 
ecrrecto  funcionamiento) 

Or  la  orkntackn  que  bemos  dado  hacu  cl  servkio.  se  deduce  la  (area 
kmiMstiacion  de  los  recursos  del  SI  (infraestructural  que  debe  optimi/ar 
(wimetros  antes  menciocudos.  cuestibn  que  ha  de  convert  use  cn  cl  objetivo 
atestros  proccdimkniat. 

Podemos  elect  uar  una  clasificacibn  cn: 

1 .  Insulae  ibn  y  pucsta  cn  servkio. 

2.  Manteniinicnto  y  soporte. 

3.  Requisite*  para  ottos  componcntes 

4.  Rcsolucibn  de  Incidencias. 

J.  Segundad  y  Control. 

6.  Informacibn  sobte  la  actividad 

La  clasificacibn  anterior  sine  para  cualqukr  elemento  de  mfraestructura.  pero 
cento  ejemplo.  podemos  pensar  en  el  Sistcnu  Operatiso  de  una  miquina. 


15.4.1.  Instalacidn  y  puesta  en  servicio 

Comprcndcrfa  kxlas  las  actividades  para  conseguir  el  funektnamiento  adccuado 
del  elemento  cn  cuestibn: 


*  S  Jr 
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Planificacidn. 

Documentation 

Parametri/aciOn 


Prucbas. 


Procedimiento  general  del  suministrador  adapeado  a  h 
inttalacion  concreta. 

Inveniario  de  componentes  del  elemento  y  norrou  de 
actualizadOn. 

Valorem  de  parimetros  del  siuema  en  funcirin  del  resto  de 
elcmentos  plamficados  (numcro  y  upos  dc  usumki, 
aplicaciones.i 

VerilicacKmev  a  rcalizar  y  sus  rcsullados. 


Debe  partirsc  de  los  documentor  cxistcntc*  en  la  organi/acidn  sobre  nomuena 
general:  eslruclura  oegani/utiva  (espcoalmcnlc  mfomUdcal,  normativas  de  instalacidt 
(coeno.  por  cjcmplo.  dircccionc*  IP  a  utilizar).  mclodologia  general  dc  proyectos  y 
demd*  infonnacioncs  que  puedan  y  deban  condictonar  la  instalaciOn. 


15.4.2.  Mantenimiento  y  soporte 

Comprenderia  el  conjunto  de  acetones  necesarias  para  la  poetta  al  dla  del 
elemento.  asf  coeno  la  asistencia  de  tcrccros  para  la  consecucidn  de  dicha  puesta  al  dli 
y  la  asistencia  a  prestar  a  oeros  colectivos  (desarrolladorcs.  por  cjcmplo)  para  facilitar 
mfomiacnSn  necesaha  sober  cl  sivtcma  y  sus  herramientas  para  su  mejor  ueilizacidn. 


Ptanilkacidn. 

Documenlacidn 

Parametnzackta. 


Pruchav 


Control  del  perfodo  de  garantia  y  comienzo  del 
mantenimiento  del  elemento. 

Procedimiento  para  contactar  con  cl  sopocic. 

Adaptation  dc  los  pant  metros  del  sistema  en  funcidn  de 
nuevos  requerinuentos  o  como  rcsultado  de  nuevas  s'eruono 
o  resolucidn  dc  incidcncias. 

Verificaciooes  de  los  cambiox  o  adaptacione*  reali/adas. 


15.4.3.  Requisites  para  otros  componentes 

Procedimiento  dc  reqocrimiemos  o  recomcndacioncs  para  cl  mejoe 
compoetamicnto  de  otros  componentes  del  SI. 

Constdcrar  los  rcquisi'os  cruzados  dc  unos  element  os  con 
otros.  por  cjcmplo:  consjderar  cl  espocio  en  disco  necesario 
para  una  nueva  insuncta  dc  una  base  de  datos  y.  por  ende,  d 
impacto  cn  cl  subsistema  de  discos  y  las  consecuenctas  ea 
Ion  Kick-ups  en  cuanto  a  cspacio  requerido  y  tiempo 
necesario.  teniendo  cn  cucnta  las  limitaciones  que  eo 
cualquicra  dc  estos  aspetfus  pudieran  extstir. 


Plantficacidn. 
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Documeniacido  Procedimiento  que  determtru  l»\  efectos  a  consadcrar  on 


Mmanponana. 

Panmctri/andn.  Adapuctdn  de  los  parimctros  del  interna  en  luncidn  de 
nucsos  rcqoenmienlos  o  como  rcsultado  de  nuevat  venionc* 
o  resolucidn  de  incidcnciai 

Pruebov  Venficaoone*  de  k*s  camhsos  o  adaptaciones  rcalizadas. 


15.4.4.  Resoluci6n  de  Incldencias 

Prosedimienio  para  registrar.  anali/nr.  dtagnosOcar.  calificar  y  scguir  I  at  modem 
aas  que  ve  produ/can  en  relacido  con  el  elemento  en  cucstidn  con  el  objetivo  de  mi 
rttolucidn 


Registrar 


Diagnostic ar 


Calificar 


Suponc  abnr  un  formulario  en  el  medio  habilitado  (pipe  I . 
clectrdmco  )  quo  pcrmiU  recoget  k»s  datos  que  identifican 
la  anomalfa;  mo  memo  en  que  se  pooduyo.  clcmcmos  y 
scrvicios/usuanos  afectados.  dados  produetdos  y/o  que 
pueden  product  rse.  emonto  del  proWcma  y  una  desenpetdn 
de  lo  acaccido  (las  opt  mooes  de  k*s  obsers  adores  pueden 
resultar  de  inter**  en  algunos  cavos) 

Supone  buscar  una  relactdn  entre  cl  efccto  y  «n  posibles 
caotat.  para  lo  que  sc  cuenta.  ademis  de  lo*  comentanoi  de 
kit  obscrv  adores  ya  menctonado*.  con  la  cxpcricncia  del 
tdcnico  que  traia  la  incidencia  y  la  mformacidn  ya  registrada 
sobre  otras  incldencias  producida*  que  pod >c ran  eslar 
rclaciooadas  o  responder  a  la  misma  causa  u  otra  parecxla. 

Detcrminar  de  entre  las  causas  posibles  aquolla  que  tuvicra 
mis  prohahilidad  de  rcsulur  cl  on  gen  del  problema  una  ser 
anali/ada  la  mformacidn  dtspomMe  En  el  caso  hi  politico 
de  no  podet  estaMccer  una  causa  del  fendmroo  reponar  al 
soponc  divpomhk  para  su  diagndstico. 

Es  un  daio  importantc  en  el  enfoque  de  la  rcsolucidn.  pues 
no  tienc  cl  mismo  tratanuento  una  anomalfa  bloqueanle  que 
afccta  a  todo  un  sistema  que  un  error  que  se  produce  de 
forma  muy  csporidaca  y  cuyos  cfcctos  no  son  muy 
problcmilico* 


Para  resolver  defimlisaroentc  un  problema  hace  falta 
conoccr  su  causa  y  la  forma  de  es  itar  que  se  rrprodu/can  las 
condioones  origen.  En  caso  de  disponer  de  la  solucido.  su 


Resotucida 
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aplicacibn  dcbcri  atcncrsc  a  los  cntenos  do  niv«i  de 
scrvkio.  cvaluando  la  probtemllica  crcada  por  la  falu  de  | 
solucibn  y  U  que  pucda  crcar  la  retolucibn.  para  coordirut 
Las  accioors  quc  me  nos  perjudiquen  cl  scrvicio  global  a 
curso.  Supbngasc  cl  caso  de  un  problcma  quc  solo  pook 
sotucionarse  mcdianic  un  “pare he"  dc  software  que  tdia 
puede  insialarsc  parando  una  miquina  quc  conlroti  a 
process*  critico  (imagine sc  cualquict  cjcmplo  cn:  hospital 
banco,  production  dc  fibrica...). 

Scguinucnto  Es  la  accibn  continua  y  normal irada  para  consegtrir  el 

diagnbstico  dc  una  mcidencia  y  la  persecution  dc  m 
retolucibn. 

15.4.5.  Seguridad  y  control 

Eatos  proccdimtcntos  adquieren  una  especial  relevant  ij  cn  cl  process*  de 
cvitacibn  dc  incidcncias  y.  caso  dc  producirsc.  cn  su  tcinprana  detection 

La  protecc  ibn  debe  considcrar  tamo  la  postbtlidad  de  hcchoa  fortuilos  ceno 
malintcncionados  Los  primerot  sc  csitarin  pamendo  dc  un  formacibn  adccuada  j 
compcterxia  profcsicmal  mis  la  organiraetbn  quc  cstablcrca  unos  procedimtetMcn 
robust  os  que  incluyan  clemcntos  dc  control.  Los  hcchos  malintcncionados  x 
prevendrin  medunte  una  polilica  de  personal  adccuada  y  unos  proccdimicntos  que 
eviten  conccntraciOn  dc  (areas  y  contadcrcn  la  segregaetbn  dc  funcioncs  y  lot 
currcspondicntes  conUolcs. 

Es  ncccsaho  pnxeger  los  accesos  a  la  mformacibn  y  funcioncs  coo  criicrio  dc 
minimos  resersando  funoones  y  accesos  cspcciales  a  nodes  dc  rctponsabilidad 
supenores  con  los  coruroles  adccuados. 

For  poncr  cjcmplos.  diremos  quc  cl  personal  dc  dcsarrollo  no  debe  lener  acccso  a 
modificar  parlmctros  del  u  sterna  opera! ivo  y.  de  igual  forma,  los  TS  no  deben  podcr 
modi  Gear  programas 

Uno  de  los  controles  tipicos  cn  cuanto  a  los  programas  objeto  o  compilados  cn 
cxplotacibn  es  cl  quc  comprucha  quc  die  bos  objetos  sc  corresponded  con  las  versiooes 
fuente  cn  vigor.  Un  control  dc  cstc  tipo  umbien  detect.!  aqucllos  objetos  quc  no 
disponen  dc  su  corrrspondtcntc  progntma  fuente. 

Los  entomos  dc  dcsarrollo  y  maatcmmicnto  de  programas  deben  dc>ar 
informacibn  sohre  las  scntcncias  borradas.  modificadat  y  aiUdidas.  asi  como  lot 
autorcs  dc  las  modiricaciones.  EsUs  pistas  dc  auditoria  pcrmilcn  rcali/ar 
invcstigacioncs  para  determinar  cl  on  gen  dc  un  determinado  cambio 
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Ex  imponamc  que  existan  una  sene  de  normativas  para  rcali/ar  lax  funcionc* 
■fcrmiticas.  aunquc  es  igual  de  importance  que  talcs  normas  se  cumplan. 


15.4.6.  Informacion  sobre  la  actividad 

Forma  pone  de  la  cscncia  de  cualquier  actividad  rendir  cucniax  al  responsible 
wperior  del  tratajo  real i /ado.  Disponcr  dc  una  informacidn  cstructurado.  de  acuerdo 
con  los  parimetros  dc  scguimiento  mis  acordes  con  los  objetisos  dc  descmpeAo.  c% 
(uestidn  primordial  para: 

•  Conoccr  la  csolucibn  de  la  actividad. 

•  Com  par  ar  la  realidad  con  objetivos  y  estindarcs 

•  Mejorar  la  calidad  de  la  tarea 

•  Anticiparse  a  situackmes  critic  as  analizando  lax  tctxiencias 

Ex  uno  de  los  ele memos  bisicos  del  nisei  dc  tervkio  siempre  que  se  objelixen 
pariuxtros  para  su  icguimicnto.  es  decir,  que  seanxn  capaccs  de  tnedir 
coe^ortanuemos  del  si  sterna  que  cskn  dirccumcnte  ligados  con  la  calidad  del 
tovkio. 


La  mformaci6n  debc  servir  para  gextionar  y.  por  tanto.  debc  set  resumida  y 
eqresiva  cn  cuanto  a  la  reprcsentacidn  de  la  realidad.  perrnitiendo  profundi/ar  si  sc 
to|u*re  un  anilisis  mix  fino  dc  algun  parimetro  en  arax  de  local  oar  la  causa  de  un 
dneminado  comportamicnto  o  magnitud. 


153.  LOS  CONTROLES 

Dcberian  detcmwvar  cl  comportamicnto  del  xixtema  y  presenir  situaciones  no 
decadai  dexde  cualquier  punto  de  vista: 

Hardware  Existcn  los  componemex  adquiridos  ( insenurio) 

Extin  corrcctamentc  mstalados 
Se  mamienen  adccuadamcntc 
Dan  el  rendimiento  requendo 

Sc  dispone  dc  las  concspondiences  licencias 
Ksli  correvtamente  mstalado 

Se  mantiene  adecuadamente  (versione*  oficialmcnte  sopor - 
tadas) 

Dan  el  rendimiento  adccuado 


www.FreeLibros.me 


U4  AlPmXllA  INWHH4ATKA  I'M  EXTOQUt  WtAXUCO 

Comunicaciones  Exist  en  compoocntcs 

Estin  conectamcnlc  instalados 

Conmutacidn  Sc  manticnen  adcruadamcntc 

Dan  cl  rendinucMo  adccuado 

Comunicaciones  Existcn  lot  contra!  os  o  tervicio* 

Extin  corrcctamcnic  paramctn/ados 

Enlaces  Sc  manuenen  adccuadamentc 

Dan  cl  ancho  dc  banda  >  respuesta  necctarios 

Scgundad  Exist  en  I  os  proccdi  micntos 

Sc  lie  van  a  cabo 
Sc  controlan  las  cxccpcioncs 
Sc  toman  medidat 

Informacidn  Sc  dispone  dcpfoccdimicntosdc  back-up 

Sc  reali/an  lo»  back-ups  coocspoodicntcs 
Sc  guardan  adccuadamentc 
Sc  comprueban  por  mucturo 

Plan  dc  Sc  dispone  dc  un  proccditnicnto 

contingcncia  F-iiin  contratados  lot  scrvicios  ncccsarios 

Esti  debtdamentc  actuali/ado 
Sc  reali/an  los  entayot  periodical 

La  EundacKSn  dc  Auditoria  y  Control  dc  Ststemas  dc  Information  (ISACF)  que 
otorga  la  cctlificaciOn  CISA  (Certified  Information  System  Auditor)  dispone  dc  uni 
publication  intcrcsante  sober  los  Objetivos  dc  Control  para  la  InformaciOn  y  la 
Tecnologia  rclacionada  (COB IT)  Alii  sc  relacionan  los  peoceso*  dc  los  Sistemas  dc 
InformaciOn  clasificados  en  dominios:  Organi/aciOn  y  PlamficaciOn.  Compras  e 
ImplantaciOn.  Pucsu  en  Servicio  y  Soporte  y.  por  illtiroo.  Momtori/aciOo  Esten 
procesov  engksban  todas  las  actividadcs  rclaoonadas  con  los  Sistemas  dc  Informacida 
y.  a  su  sc/,  con  fact  ores  como:  Personas,  Aphcackmcx.  Tee  nolog  ia.  Explotaodn  y 
Datos.  Por  ocra  parte  tienen  una  cooexiOn  mayor  o  menor  con  sictc  Cntenos  dr 
Informacidn: 

1.  Eficacia 

2.  Eficicncia 

4.  Integndad 

5.  Disponibilidad 

6.  tcgalidad 

7.  Fiabilidad. 
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La  dcfmiodn  del  factor  Tec  noJog  ia  poede  identificanc  coo  el  imbao  qoc  cstamos 
aplicando  a  Tdcnica  de  Sistemas.  poesto  qoc  comprcnde: 

Hardware. 

Sistemas  Operatives, 

Gcvtores  de  Bases  de  Dal  os. 

Redes. 

Multimedia. 


Ettrayendo  loci  procesos  rclacionados  con  esu  defmicidn  1c  Tccnotogfa 
ottendrfamos.  segiin  ISACA.  k*  objetivos  de  control  cofTCspondienles  al  irca  que  nos 
ocupa:  Tdcnica  de  Sistcmas. 

Veamo*  lot  objetivos  de  control  en  lo*  que  se  involucra  Tdcnita  de  Sislemav. 
trgiSn.  el  cooccpto  anterior. 


Drflnlcidn  del  plan  rstrat^gico  trenoldgico 

Pretende  la  salitfaccidn  de  lot  rtquerimicntos  del  nrgocio  butcasdo  un  balance 
Optimo  cnlrc  Us  opoctunidadc*  de  la  lecnologia  de  la  informacidn.  dichos 
requenmicntos  y  su  posterior  cumplimiento  Pcrmite  un  process'  de  planificacidn 
eiSratdgica  que.  a  mtervalos  re  gu  lares.  va  cumplicndo  los  planes  a  largo  pU/o.  Esto* 
[lanes  a  largo  piano  dehen  traductrsc  periddicaraetMC  cn  planes  sperativos  con 
objetisos  claros  y  concrctos  a  corto  piano 

Toma  cn  considcractdn  objetivos  de  ncgocio  y  ncccsidades  de  trcnologfa  de  la 
informacidn.  invcitfario  de  soluciones  tecnoldgicas  e  infraestructura  actual  y  estudios 
de  factibilidad 

Primando  fundamental menic  el  enteno  de  cftcacia.  concede  lamhdn  imporuncia 
abeficiencia. 


Drterminucidn  de  la  direecion  tccnologica 

Se  trata  dc  obtencr  ventajas  de  Us  tecnologus  emergentes  Pretende  crear  y 
nantener  un  plan  de  mfraeslructura  tccnoldgica.  adccuando  y  haciendc  evoluctonar  la 
apacidad  dc  la  infraestructura  actual  sigutendo  los  devamsllos  tecnoldgicos.  las 
Mtriccioaes  del  negocio  y  los  planes  de  adquisicidn. 


Como  en  el  caso  anterior,  prima  U  eficacia  sobre  U  cficicncU. 


www.FreeLibros.me 


IQWit  ttXUt.MATXA  I  N  tLNUXJtl  HtAtUCO 


(inli6n  de  immionn 

Ategura  la  dttpoticidn  y  cl  control  dc  dctcmbolios  dc  rccttrtos  fiiunckm  pgr 
medio  dc  lot  corretpondienict  prcsupoettut  operative  pcriddicos  cstableckk*  j 
convcnicntcmcntc  aprobadox. 

Ticnc  cn  cucnia  altenutivas  dc  fmanciactdn.  control  tobre  lo  gatudo  j 
justilicacidn  dc  coact. 

En  cac  proccto  ticnen  la  mi  strut  importancia.  cftcacia  y  eft: mot 
eonsidcrandoxe.  ademit.  la  fiabtlidad  dc  lo  adquirido. 


Apreeiaddn  dc  riesgox 

Pretende  cl  ateguramiento  dc  la  obtcncidn  de  Ion  objciivot  dc  Tl  (tecnologh  dr  U 
informacidn).  previmendo  las  amcna/at  eti  la  obtcncktn  de  lot  tervtciot  de  Tl 
Permite  a  la  argani/acidn  idennficar  lot  net  got.  anali/ar  tu  impacio  y  tomar  In 
medidat  dc  cottc  cfcctivo  para  mitigarkw. 

Conttdera  diMimot  ripot  dc  riesgos  (tccnologfa.  tegundad.  coniinutdad...).  lot 
momentot  dc  anilitit  (pcriddicot  o  durante  la  implantacidn  dc  nuevot  utterrosi 
dmbitot  globalct  o  ctpcclficot.  infomvex  dc  mcidenciat  y  cl  mantenimiento  de  u 
modclo  de  riesgo. 

Ettin  involucradot  lot  tide  criterion  pero  ctpccialmcnlc:  confidcncialuM, 
mlcgndad  >  disponibilklad. 


Gntidn  dc  projedot 

Suponc  nurcar  priocidadct  para  contcguir  objciivot  cn  t tempo  dentro  dc  la 
prctupucstos.  Permite  a  la  organizacidn  idcntiftcar  y  pnon/ju  proyccto*  cn  llnea  a* 
cl  plan  operatito  Mix  aiin.  la  organizacidn  debc  adoptor  y  aplicar  tdcrucat  scguratde 
gettidn  dc  proyectot  para  cada  proyccto  emprendtdo. 

b  prccito  tetter  cn  cucnia  cl  promotor  del  proyccto,  lot  utuariot  involucradot. 
las  inctdcncias  >  lot  hilot.  la  dctcrminacidn  dc  retpontabilidadet.  cl  comitd  de 
xcguimtento.  lot  pretupoettot  dc  cottet  y  mono  dc  obra.  la  calidad  del  plan  y  U 
tegundad  del  plan  para  con  lot  sistemat  scntiblcs. 


En  c«e  case  intcrvicncn  por  tgual  lot  cnicnot  de  cftcacia  y  cfictencia. 
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Identification  dir  soluoioncs  autimuliaikn 

Sc  trata  tic  axcgurar  la  mcjor  aproximacidn  pan  vativfacer  kn  rcqucrinucntos  de 
las  usuarios.  facilitando  un  anil  ms  claro  de  Us  oportunas  altematisas  ajustadas  a  Ins 
requisites. 

Sc  han  dc  tomar  cn  conxidcracidn  las  restricciones  internal  y  external  (cocno 
uiicrnai  heredadm).  la  direccidn  dc  la  tccnologU.  los  cstudios  dc  factibtlidad  (costcs. 
hencficios.  alternative ...  I.  los  requerimientos  y  la  arquitcctura  dc  informacidn. 

Prcialece  la  cficacia.  aunque  la  cficiencia  debe  considerate  urnhien 


'  Adquiiicidn  y  mantrnimiento  dc  infracstructura  trcnologica 

Estc  proccso  provee  las  plataformai  adccuadas  para  soportar  las  aplkaooncs  del 
atgocio.  Permite  definir  considcracioncs  eipecfficai  dc  requerimientos  funcionaks  ) 
operative*  y  una  implantacidn  por  fascs  con  hitos  claros. 

Sc  deben  consider  ar:  la  diiponifotidad  dc  la  tccnologla.  la  direccidn  dc  sa 
tvolucidn.  Us  polfticas  «Jc  seguridad.  cl  ajusic  dc  lots  proccdimicntos  a  la  instalaciAn  y 

bOnMUdML 

F.s  impottanic  la  integrtdad.  pero  han  dc  prcvalcccr  elk' ana  y  clicicncia 


Drsarrollo  *  mantrnimiento  dc  proccdimicntos  rrlaeionadm  con  los  SI  (Siitemai 
dc  Inform  ackin  • 

Pretende  asegurar  cl  uso  adccuado  dc  Us  aplicacioncx  y  dc  Us  soluciones 
fccnoldgicas  instaladas.  Suponc  una  aproximaetdn  cstructurada.  al  dcsarrollo  del 
wurio  y  a  los  manuak*  dc  proccdimienios  opera! nos.  asi  como  a  requerimientos  dc 
tervicio  y  material  dc  cntrenamicnto. 

Tiene  en  con  vide  racido  tanto  proccslimicntos  como  controks  dc  usuario  y 
proccdimicntos  y  controks  operative* 

Prcvakciendo  cficacia  y  cficiencia.  tarnbkn  -cn  segundo  tdrmino-  intcrvicncn 
cnterios  de  integridad.  kgalidad  y  fiabilidad. 
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InttalariOn  y  rnliflcucMll  dc  sistemas 

Verifica  y  confirma  que  la  soluciOn  encaja  con  cl  propOtito  pcrscguido.  lo  qoc 
pcrmitc  la  rcalizaciOn  dc  una  corr ecumenic  formalizada  insialacidn.  migracifa  y 
conversion  asf  coroo  un  plan  dc  aeepuciOn. 

Confident  la  aprohaciOn  dc  la  cttroctura.  la  documentation.  pruchas  cspcctfkai. 
cntrcnanucMo,  conversion  y lo  carga  dc  daiot  y  revixiooes  pott-implantaciOn. 

Butca  la  inlcgridad  y  la  dispombilidad.  prevakeiendo  la  eficacia. 


(icstidn  dc  camblot 

Prciendc  minimizar  di.tfunctonc*.  altcracionc*  no  aulorizadas  y  errotet, 
habililando  la  gcttiOn  del  sistema  para  cl  anilisis.  la  implantation  y  cl  tcguimicnioifc 
lot  cambios  solicilados  y  rcalizados  cn  la  infract  tructura  dc  Tl  cxittcnlc. 

Tie nc  cn  cncnta  la  identification  dc  lot  cambios.  la  catcgorizaciOn.  priori  zaciOn  y 
proccdimicntos  dc  cmcrgcncia.  cl  inipacui.  la  autorizaciOn  dc  lot  cambiot.  gauta 
dckgada  y  distribution  dc  software. 

Son  critcnos  prioritarios.  ademit  dc  cficacia  y  efickncia.  inlcgridad  y  dispooi- 
bib  dad.  m  lent  rat  que  la  fubilidad  sc  contidcra  cn  un  tegundo  piano. 


DcHnlddn  dc  nitric*  dc  tertkio 

Pertigue  un  entendinuento  gcncralizado  tobre  cl  nivei  dc  scrvkio  requerido 
Pcrmitc  cl  csublccimienio  dc  acucrdot  dc  nivei  dc  scrvkio  que  fooiulizaa  lot 
criterio*  dc  rendimiento  con  lot  que  dehen  medirte  cantidad  y  calidad  del  seme  to. 

Intolucra  definition  dc  rcspontabilidadct.  voldmcncs  y  tiempos  dc  rcspuctu 
dependences.  cargos.  garantias  dc  integridad  y  acucrdot  dc  discretion. 

Inters  icr.cn  lot  sietc  critcrios.  tiendo  primariot:  cficacia  y  eftekneia. 


tiotkin  dc  rriaclonc*  dc  tcrticio*  dc  lererro* 

Ateguran  que  lot  roles  y  rcspontabtlidadc*  dc  tcrccra*  panes  cstin  dcfmidot  ten 
clandad.  ton  con  formes  con  lot  rcqucriinicntot  y  continual)  sativfackndolot.  bacilli* 
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mrdxljx  dc  control  para  revixar  y  nionitonzar  Im  contratm  cxixtcMcs  y  tos 
proccdrniicruos  para  mi  cficacia  y  cumplimicruo  dc  lax  polfticac  dc  U  organi/ackln. 

Ticnc  quo  ver  con  Im  acucrdoc  dc  nivcl  do  tervkto.  con  Im  acucrdox 
dnaecidn.  lac  politicax  dc  la  compaAla.  lac  I  eyes  y  rcgulacioncx  y  Im  contratm 

Igual  quo  cl  proccco  anlcnor.  icquicrc  dc  tod  ox  toe  cnlcnox  y.  cn  especial,  dc 
(fKacia  y  cfickncia. 


GestMo  dc  re txlim lento  y  capacidad 

Axegura  la  cxixlcncia  dc  la  capacidad  adccuada.  xu  disponibilidad  y  uxo  dptimm 
dc  acucrdo  con  Im  rcqucnrrncmox  cxtablccidox.  Pcrmitc  cootrolex  para  gestionar  la 
capacidad  y  cl  rendimiento.  que  recopilan  datox  c  informon  para  gestionar  la  carga.  cl 
UroaAo  dc  lac  aplicacioncc  y  la  geetton  dc  recurcox  y  pcticioncc. 

Tienc  cn  enema  xolilmcncc.  licnipox  dc  rcspuexu  y  rcndimkntov 

Buses  el  factor  dc  dicponibtltdad.  pecvaleoendo  xicmprc  cficacia  y  cficicncia. 


WRiiramirnto  dc  la  conlinuidad  del  serxicio 

Dispone  cl  semoo  tal  y  conio  xc  rcquicrc  y  coniimia  facilitindolo  cuando  sc 
produce  una  incidcncia.  Pcrnuic  cl  ejcrcicio  regular  dc  un  plan  dc  coniingencia 
cttmciurado  (simulacrm)  facilitando  dixtintas  faxes  c  hitrn  claros.  alincando  lac  Tl  con 
Im  aspect  ox  del  negocio. 

Conxadcra  la  clacificacido  critka.  d  plan  documcntado.  lox  proccdimienlox 
altmutixixx  y  lac  prucbac  y  ensayox  cictemilicm  y  regularct. 

Se  fundamcnia  cn  dixpnnihtliilad  y  cficacia  y.  dc  mancra  xccundaria.  cn  cfi¬ 
cicncia. 


Atcguramirnlo  dc  la  ceguridad  dc  Im  ihttmas 

Para  calvaguardar  la  informaetdn  contra  ucm  no  autori/adoc.  rcvclacirin  dc 
itformacidn.  modifvcacidri.  comipcidn  o  pCrdida.  conirola  cl  accexo  togico  at  xinema. 
i  lot  datox  y  a  toe  programac.  rextnngicndo  Cxlos  a  toe  uxuanox  auton/adm. 


St  St 
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Involucra  aurnn/acion.  auteiMicacidn.  pctfilc*  c  idcMiftcacibn  dr  u 
gcMidn  <fe  elate*  e  informc  dc  mcidcnciat  y  tcgumucnto. 


Aplica  criterio*  de  coofidcnciaJulad  c  integhdad  y.  cn  tcgundo  orden.  d 
brlidad.  Icgalidad  y  fiabilidad. 


Idcntiftcacion  y  rrpartn  d *  carin 

Atcgurar  la  corrccta  atribuddn  de  lot  ante*  dc  lo»  temcio*  dc  TI.  Drtt  I 
di*poner*e  dc  un  MHcma  dc  conubilidad  dc  couc\  que  garanticc  cl  registto  dc  l« 
nuunov  con  cl  con*iguienie  clkrulo  y  dinribucidn  dc  dctallc 


Lnli/j  cnicno*  dc  cfiocncia  y  (iabtlidad 


(•ntkm  dc  la  configuration 

InveMahar  indcn  kn  components  de  lo\  SI.  prcvicndo  alterations  no 
autorizaduv  vcnficando  hi  cxiucncia  fluca  y  facilitando  una  base  pretita  pm 
gcMiooar  cl  cambio.  k»  controls  que  tdciMifican  y  registrar!  todm  kn  biene*  y  h 
local  i/aoOn  fltica.  tsi  como  un  programa  regular  dc  vcrificacidn  que  asegurr  ta 


Ticnc  cn  cucnia  cl  regiMro  dc  activos  y  mi  ctiqoctado. 

U«a  enteno*  dc  du>ponibilidad  y  fiabtlidad.  dando  priondad  a  la  cfKacta. 


(lest  ion  dc  problemas  c  incidcncias 

A  segura  que  «  conoccn  kn  problemas  y  lax  incident  iav  que  se  mvcstigan  In 
causa*  y  que  *c  prcticne  hi  repetkido.  permit  icnJo  un  MHema  que  regiMrc  y  pcrMga 
hi  molocibn. 

Dcicrmina  la  cxiHcncia  dc  pitta*  dc  aoditoda  suficicntc*  M>brc  problem**  y 
mjIucioocs.  cl  I  tempo  dc  rev.il  uc  ton  dc  kn  problem**  reportadov.  proccdimknto*  dc 
scalado  (pav>  dc  problema  a  otr*%  uuUnciat)  e  informc*  dc  inodenciav 


Criteria*  primanov  cficacia  y  cfiocncia:  tccundano*:  dnponihilidad 
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Monitori/ackin  dc  los  pnxnot 

Pcrsiguc  U  consecution  dc  kw  objcUssw  buscados  pot  los  proccsos  dc  los  SI. 
drfinicndo  la  gestidn  dc  informes  relevames  para  U  direccidn  y  dc  mdic adores  dc 
itedimiento  dc  la  impUnuciOn  del  soportc  dc  los  sistemas.  asi  como  clarificando  los 
mfonnes  sobre  una  base  regular  y  normal  i/ada. 

Son  importanlcs  los  auto-controle*.  benchmarks,  indicadorcs  clase  dc  medteido 
6c  rendunientos  c  mformes  dc  gestidn. 

Inicrvicncn  los  side  crilenos.  siendo  primana  la  eticacia 


Srguridad  indcpcndicnlc 

Para  incrementar  los  msclcs  dc  confidcnctalxUd  y  cl  bcncftcio  dc  rcferencias  dc 
las  mejorcs  pricticas  cs  importantc  reali/ar  auditorfas  indcpemlienics  a  intcrvalos 
regulates. 

la  mcncionada  auditoria  indcpcndicnlc  con  concepfos  dc  auditoria  proactisa.  la 
ejeeuetdn  dc  los  cor* roles  por  personal  cualificado  y  la  clarificacido  dc  las 
otncrvacioncs  y  Us  rccomcndacioncs  coostituycn  aspccios  clave  dc  csta  aciividad. 

Como  cn  cl  caso  anterior,  interviencn  los  stele  criterion,  pero  aquf.  con  pnoridad 
lot  dc  cficacia  y  eficicncta. 


15.6.  AUDITORiA  DE  LA  FUNClON 

No  vamos  a  repetir  conccptos  cUmcos  dc  auditoria.  como  la  ncccsidad  dc 
confcccionar  un  plan  dc  U  misma  que  incluya  cl  anilisis  dc  cjcrckios  antcriores 
dttermmando  objctisos  prccitos  y  csiablcoendo  un  conjunto  dc  pruebas:  sustantivas  y 
dr  cumptimienio  que  pcrmitan  obtener  unas  cooclusioncs  rcflcjadas  cn  cl  informe 
onrTrsponiimle 

Sc  trata  pucs  dc  aplicar  Us  ideas  antcriores.  al  segmento  dc  actividad  al  que  nos 
etumos  refine odo:  Tdcnica  dc  Sistemas. 

El  liltimo  informe  dc  auditoria  reali/ado  debe  servir  para  fijar  un  objetivo 
ccocrrto:  la  comprobactdn  dc  que  sc  han  I  lev  ado  a  cabo  las  rccomcndacioncs 
npucstas  y  sc  han  corrcgido  dcbtlidades  o  punios  negros  dctcctados  coo  antenondad. 
El  informe  final  deberi  re  fie  jar.  cn  cste  caso.  la  rcalidad  contmstada.  hacicndo 
hncapid  cn  aqucllos  objeuvos  no  conscguidos  Us  ra/oncs  expucstas  pot  los 
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rcspoo  sables  y  urus  nucvas  rccomcodac  tones  «l  respect o  quo  poedon  ratifies:  to 
ptantcamicntos  originates  o  plantcar  ahemativas  o  nuevos  nbjctisos  para  resolve*  lit 
dehilidades  encontradas  (controles  compensators) 

Kn  cuanto  a  lot  proccdimientos.  y  de  acuerdo  con  lo  expuesto  cn  cl  puao 
anterior,  debe  comprotarsc: 

1.  Qucexiucn. 

2.  Que  son  consistences  con  los  objetivos  dc  control. 

3.  Que  sc  cjccutan. 

Coinoquicra  que  el  ejcrckio  de  auditorial  suponc  colcccionar  unos  hcctwt 
obsersados  para  emitir  un  jukio  ectiinime,  profcsional  e  indcpendiente.  dkhos  beebos 
dchen  ertar  cooirastados.  por  lo  que  sc  reali/an  las  prochas  sustantivas  y  de 
cumplimietuo  cuyo  resultado  debe  sopoetar  las  cooclusiones  del  informc  de  auditoria. 

No  podemo*  olvidar  que  cs  el  informc  dc  auditoria  -como  resultado  final  dd 
trahajo  rcali/ado  la  base  de  las  accioocs  correctoras  posterioees  que  debe  peomoser  li 
direccidn  para  soslayar  cuantas  debilidades  y  proMemas  pueda  planlcar  el  sistetna  to 
mi  funcionamiento.  y  consecuentcmrotc.  mejorario  para  qsie  responds  a  los 
rcquerimientos  que  constituyen  su  ra/rin  de  ser. 

Una  adecuada  metodologia  cn  cl  dcsarrollo  de  la  auditoria  es  fundamental  y 
rcquicrc  dc  aspect  os  generates.  tamo  del  campo  dc  la  auditoria  como  de  la 
organizacidn  dc  los  Sistcmas  de  Informacidn.  tamo  como  de  aspect  os  especfficos  que. 
cn  cl  caso  de  TS  son  especialmentc  importances.  a  tenor  de  la  tecnificacidn  profunda 
de  la  funcidn  y  de  la  cspcctfictdad  de  los  diferentes  entomos  tecnoldgicos  cxiMctucs. 

Haiste.  adcmls.  un  problems  aftadido  que  sc  origins  en  la  varied  ad  y 
multiplicidad  de  los  entomos.  Hoy  en  dia  es  difictl  encontrar  entomos  puros  y,  en  la 
real  i dad  actual,  existen  distintas  pones  de  los  SI  que  se  ubtean  en  miquinas  de  tipo 
mainframe,  dc  tipo  mini  y  micros  que  cada  ver  son  me  nos  micro,  pucsto  que  b 
tecnotogfa  evolueiona  y  desarrollos  de  unos  entomos  se  aplican  a  otros;  baste  pone* 
como  eycmplo  que  la  tecnologla  de  discos  del  entomo  microinformttico  ha  sido  U 
base  de  los  actuates  desarrollos  de  sistcmas  array  que  conttraycn  grandee  sistcmas  de 
almacenamicnto  pot  agregacidn  dc  clementoa  mis  pequeAos  con  el  origen 
mcncionado.  que.  ademis,  se  hcncficia  de  los  desarrollos  dc  entomos  mainframe  t* 
cuanto  a  rendinuentus:  varias  via*  de  acceso.  dispositivos  cache,  etc. 

Re  so  ha  normal  en  una  empeesa  de  cterto  tamaAo  encontrar  un  entomo  mainframe 
que  soponc  una  sene  de  funcionalidadcs.  junto  con  entomos  medios  para  otras  y  un 
soporic  micromformitico.  aniculado  gcneralmeiuc  alrcdcdor  dc  una  red  que  complcu 
la  infracstmctura  de  sus  sistcmas  centrales.  Pcro  csto  no  es  todo.  sino  que  sc  completa 
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-tanvhien  usualmentc  coo  cquipos  en  sus  ccntras  penffncos  que  integrun  lu 
insulactoocs  con  los  cotTcspondientcs  enlaces  de  comunicacioocs  y  U  clcctrocica 
inhere  Me. 

En  entomos  hctcrogdneos  ve  requicien  conocimicntos  cspccfficos  dc  cada  »i*icm* 
opcrativo.  gestor  dc  base  de  datos.  herramicntas  de  dcsarrollo.  administration, 
teguridad  y  monitori/aciOn. 

La  funciOn.  en  estos  casus,  debe  ser  auditada  desde  dos  perspectives  diferenies  y 
con  cquipos  dc  personas  distinus: 

•  Equipo  dc  organization  con  conocimicMos  generate*  que  chcquce  aspectos 
operadvo*.  como  eslabiccimiento  y  separation  dc  entomos  y  los 
procedimientos  inhcrcntcs  a  dkha  separation  y  a  las  funcioncs  gcncralc* 
como  resolution  de  incidences.  planes  de  conlingcncia.  niveles  de  servicio  o 
infonnes  pcnddicos  de  TOciuca  dc  Sistcmas  sobre  el  dcsarrollo  dc  la  tarea. 

•  Equipos  expertos  en  c  nice  nos  cspccificos  que  scan  capaces  de  analizar  los 
parimetros  claves  del  software  de  base  en  sus  distinus  cone  epc  kmc*:  sivtcmas 
operatives.  gestures  de  bases  de  datos  y  herranuentas  'arm. 

I  j  existence  de  una  red  de  comunicacionc*  incorpora  un  nuevo  nivel  de 
ccmplcjidad,  puesto  que.  para  diferenies  servicio*.  pueden  existir  distiMas 
tnfrac  struct  uras  que  se  sola  pan.  por  ejemplo:  lineas  de  datos  para  cooccur 
icmmaWrcdcs  a  instalacioncs  centrales  (compuudorts  y/o  redes)  y  otro  conjunto  dc 
cslaces  para  intercooccur  las  diferenies  ubicacioncs  de  la  organizaciOn  y  soportar  cl 
Ktstcio  dc  con co  electron  ico. 

Los  servicios  a  traces  de  redes  pdbhca*  mis  abtettas  y  ccooOraicax  pero  mix  ho 
menus  seguras  generan  una  complejidad  aAadida  que.  desde  cl  puMo  de  vista  del 
ocotrol.  haccn  cada  vc/  mis  diffctl  su  vigilancia.  dado  el  elevado  nivel  tccnolOgico  de 
las  solociooes  en  curso  y  su  vocaciOn  dc  apenura  y  flexibilidad  que  choc  an 
frooulmente.  como  se  puede  comprcndcr  ficilmcnic  y  ya  bemos  ditto.  con  aspectos 
dc  tqindid  y  control  MMivici. 

En  grandes  organizaciones  es  rcUtivamcntc  scncillo  urdir  cstralcgias 
erganizativas  que  cumplan  con  los  cnlcnos  bisKos  de  control  en  cuanto  a 
establecimiento  de  procedimientos  y  segregation  de  funcioncs  para  que.  pot  ejempto. 
kn  programadorcs  no  poedan  modificar  los  pari  metros  del  sistema  (operativo.  gestor 
de  datos...)  y  quicnes  psiedan  e jocular  programas  en  real  no  poedan  modificarlo*. 

Pero  a  vcccs.  bien  porque  se  trau  de  organizaciones  mis  pequeftas  con  me  nos 
rccursos  unto  opcratisos  como  de  control,  como  de  grupos  de  servKio  a  determinados 
objrtiso*  parciales  con  elementos  dc  proccso  depaiUmcMales.  se  produccn  situacioacs 
doode  la  scgregaciOn  funcional  no  extstc  y  sutgen  -en  coosecuencia-  amcnazas  y 
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dchitidadex  que  cl  auditor  dcbc  determiner  para  que  median! e  otrox  medtox  pooian 
eompemarxe  dxhax  dcbtlidadcx.  bxen  a  travfe  de  otrox  conuolc*  y/o  medidax  leegurox. 
por  cjcmploi. 

Puceto  que  cm  la  prcxcMe  obea  xe  tratan  expcci  fie  amen tc  axpcctos  que  ticncn  qoc 
ver  coo  TS.  vamox  a  profandizar  un  poco  cn  cl  irea  eepecffica  del  xixtema  operative  y 
herrarmentax  complementanax 

La  nc parse xVi  dc  entornox  de  traha  a  conxtituyc  un  plaiUcamieMo  fundamental 
para  aixlar  la  produocidn  dc  lox  nexgox  del  doxa/rollo.  Ilay  que  tenor  cn  cucnu  que. 
Ilc\ada\  la\  eo\a\  al  Kmite  en  d  4rca  dc  produce  km.  ec  pcrxiguc  la  ceiabilidad  de  lot 
proccvw,  mtcMrax  que  cn  dcvarrollo.  ee  trata  dc  comproharia.  lo  que  obligaria  a 
mtentar  cn  pruehac-  huecar  eue  f alloc  y  conxcguir  tnodcnciac  para  preveniriae.  fca 
ocationcx.  cahria  induce  la  exittencia  dc  otrox  entornox  (cn  funcidn  dc  las 
orjaniraeionccl  como  cl  de  imptantackta  que  -xiendo  una  replica  del  dc  produccifo- 
pcrmitirfa  comprohar  (cn  laboralono)  inctdcnciac  produeidac  cn  cxpkxackta.  prutur 
ctrcuntunciat  expccfficax.  un  neccxidad  dc  mvolucrar  a  lac  cjccuciooce  realee  t 
impariir  cntreiumicnio  (training)  a  nuevot  ucuanoc  »  ante  noeeae  venkmet  dr 
aplicacidn  Por  otra  pone,  lax  mencionadae  ecparactonex  dehen  conllcvar  un  centrcl 
eobre  lax  cooextooee  entre  lot  mixmot  y  lax  rcxtrtccioncx  dc  acccco  de  lot  died  mot 
pcrfilcx  (opcradorct  que  no  pueden  compilar  programax.  programadoree  que  no 
pueden  >.  coder  al  entorno  dc  produccidn.  etc  ). 

l-oe  datra  realex  no  dehen  ter  acoexiblcx  m  utili/adoc  para  pnicbax:  «Mo  cn  catca 
ccpceialec  para  pmehac  dc  volumcn  podrian  lomarec  como  punio  de  pamda, 
dexvirtuindoee  cn  tu  contcnido  para  cl  traxpato  al  entomo  corTCxpondicntc 

HI  toft  «t  arc  dc  haee  debe  aponar  hen  am  »e  Mac  para  modiOcar  programax  y 
coolrolar  lox  cambtoe  drjando  pi  cue  dc  auditoria.  debtendo  cxietir  cl  corretpondicmt 
proccdimiento  que  coMcmpIc  la  tegrrgacibri  funcional  (aprohacidn  del  cambto. 
realizactdn.  ealtdacidn  y  puexta  cn  cxpfcXackWtl. 

La  conxietencia  dc  lex  programax  cjceutablcc  con  lax  fuenlex  ongen  ex  xcnficaMt 
y  garantiza  que  lax  aplicacioncx  cn  cjccucidn  coincidcn  con  lax  dcxanolladax. 
validadax.  y  que  xirven  dc  buxe  para  cualqutcr  modificacidn  poxicrior. 

Dchc  compeobaree  la  exixtencia  dc  todax  lax  fuentev  La  pCrdida  dc  alguno  deja  a 
la  organi/acidn  en  prccaho  frcMc  a  cualqutcr  modificacidn  ncccxaria  que  afccte  a  U 
func  tonal  idad  que  sopocta  cl  programa  cn  cuexttfn 

Un  control  cxpectal  debe  aplicaree  con  lax  Mtltdadcx  dc  ueo  rcxtnngido  qae 
permiten  acccxox  dircctox  al  mielco  del  xixtema  operative  o  a  lox  datox.  Sc  trau  dr 
clcmcntox  ecnxiblcx  cuyo  ueo  debe  extar  etpccificado.  loda  *H  que  -en  determmadot 
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casov-  no  dejan  ptoa  de  las  modificaciones  reali/adas.  Existed  opinioncs  a  favor  <Je 
dnponcr  de  estas  funciones  fuera  del  sitlcma.  cargindolas  Onicamentc  cuando  scan 
ecccsarias  >•  borrindolas  despuds,  para  evilar  que  -por  una  dcbilidad  de  seguridad- 
alguien  podiera  acccder  a  cll&s.  Con  csto  sc  trata  de  eliininar  la  omnipotence  de  los 
Tdcnicos  dc  Sistcmas.  que  dehen  cstar.  tatnbidn.  sujetos  a  una  normahva  rigurosa. 

Ha  de  lenerse  en  cucflU  el  nisei  de  actual  iracidn  de  los  mddulos  del  SO  (sistema 
operalivo)  y  si  cxistcn  parches  pendtentes  de  aplicar.  dado  que  la  no  actualizacidn 
mencionada  supondria  cl  nesgo  ante  los  errorcs  que  las  actuali/aciones  corrigcn. 

La  planificacidn  de  acciones  dehc  ser  cuidadosa.  documentada  y  con  posibilidad 
de  altcmalivas  y  dc  marcha  atrds  ante  cualquier  eventual idad  imprevista  que  no 
peimica  el  correcto  funcionamienio  del  sistema.  Ha  de  tener  cn  considcracidn  los 
tuscles  dc  scrvicio  pactados  y  procurar  cl  mininso  impaclo  en  la  explotacidn  del 
siuema. 


Dcben  cxistir  planes  de  respaldo  y  continuidad  en  cuanto  al  software  de  sistcmas. 
asi  como  cl  adeeuado  soportc  intcrno/cxtcrno. 

Id  seguitniento  de  la  adccuada  stntonia  del  sistema  y  su  renduniento  debe  ser  una 
prfctica  habitual  >  continua.  para  lo  cual.  ademis  de  los  dates  ohjetivos  sobre 
pirimctros  y  mediciones.  existen  henamienus  de  contras ic  que  permiten  evaluar  su 
funcionamienio. 


Constituycn  riesgos  una  dependence  inadecuada  (del  responsible  del  dcsarrollo. 
por  cjemplo.  lo  que  supondria  falta  dc  segrcgaeidn  funcionalt.  los  cambios  sin  una 
planifkacidn  adccuada  y  la  cxixtencia  de  supemsuarios  con  una  conccntracidn  dc 
podcr  que  atente  igualmcnte  contra  la  segregation  funcional.  Ixn  coo  Holes  deben 
buscar  supervisidn.  comprobar  la  restriction  de  kxs  accesos  y  cfcctuar  las  rcvisioocs 
correspond  icntcs. 

El  nesgo  valorado  debe  cstar  en  consonance  con  la  organizacidn:  no  cs  cl  mismo 
en  un  hospital  o  cn  un  banco  que  cn  un  fabricanlc  de  sillis.  Aunque  la  rcpcrcusidn 
para  el  negocio  pueda  ser  la  misma.  no  son  iguales.  ni  la  probabilidad  dc  su 
podoccidn  ni  la  rcpcrcusidn  en  otros  factorcs  Has  personas,  por  cjemplo).  En  ciertos 
caws,  como  complcmcnto  o  como  suUitucidn  por  no  justificarse  detenninadas 
mofcdas  cn  funcidn  de  la  complcjidad  y  cl  riesgo  cn  cuestidn.  puede  estudiarse  una 
politicadcseguros: 

SPS  Seguro  de  soportes  de  datos 

SPW  Seguro  dc  software 

SICO  Seguro  para  cobcrtura  dc  contingcncias 

1SPB  Seguro  dc  pdrdida  de  bencficios 
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Tambicn  convene  destacar  la  exidcnciu  dc  hcnanucnus  quc  ayiKltn  cn  la 
mrtodologfa.  recogtendo  resultados  dc  obscrvaooncs.  ubuldndolos  dc  acucrdo  con 
factors  y  parametros  dc  ricsgo  para  oblcncr  un  valoe  objctivo  de  lo*  resultados, 
comtni)  cndo.  dc  forma  semiautomdtica  cl  informe  dc  auditoria.  De  igual  forma  cate 
ulih/ur  utile*  cvpcctfico*  para  sidemas  concrctos  >  revival  vuv  parametros  c  hiddricot 
-en  cuanlo  a  pistts  dc  auditoria-  quc.  cn  casos  dc  sixtemas  coinpkjm.  too 
especial  mente  rccomendables. 


15.7.  CONSIDER ACIONES  SOBRE  LA  TECNOLOGIA  Y  SU 

evoluciOn 

Debemos  pre  paramos  para  cl  cambio  dc  paradigma  quc  sc  nos  avccina.  puesto 
quc  la  complcjidad  alcan/ada  por  los  sidemas  didnbuidos  no  compcnsa  <u  sdfc> 
aparente  cficicncia.  Para  judificar  Ctfa  aprcciaodn  baste  con  refenr  cl  alcancc  tdcnico 
de  I  os  smemas  didnbuidos  quc  para  conscguir  la  comidcncia  cn  la  informacidn  dc 
Ion  difermte*  nodo-i  sc  ha  normali/ado  el  ctmil  de  doble  fate  para  garanli/ar  U 
actuali/acidn.  cn  tiempo  real,  dc  todos  I  os  computations  de  la  red.  En  idmutm 
vulgares  baste  con  decir  quc  es  neccvario  un  enlace  dc  comunicaciones  ruble  y 
permanente  para  garantizar  quc  en  lodos  fas  netdos  queda  actuaUzada  la  informal- fas 
en  el  memento  y  yo  me  pregunto  ,qod  difcrcncia  cxistc  entre  ede  sistema  y  urn 
central i rado  clisico?  Segun  mi  opinidn.  la  difcrcncia  cs  inexidente  toda  see  quc  -en 
ambos  casos-  cl  funcionamicnto  corrccto  sc  basa  cn  unas  comunicaciones  liable*  ux 
las  duties  no  funciona.  adecuadetmente  ninguno  de  fas  dos,  y  con  las  que  amhoj 
permilen  una  operatiset  correcta. 

En  el  Ifmitc  un  sistema  dutrtboido  podria  icncr  c terras  ventajas  cn  los  cosies  de 
las  comunicaciones  siempre  que  pane  dc  los  accesos  poedan  set  locales  y  la  diferencii 
compenxc  las  actuali/aciones  distributdas.  l.o  quc  sucede  es  quc  cs  mis  barato  ertar. 
mantener  y  actualirar  un  sistema  ccntralirado  y.  ademds,  si  hay  caida  n 
comumcac tones  en  algun  enlace,  el  resto  estdn  totalmenie  operatises*,  mientras  quc  ei 
cl  caso  didribuido.  si  cac  un  enlace,  sdlo  estdn  operativos  los  accesos  locales  y  hasu 
que  no  se  reuaura  el  enlace  catdo.  no  funciona  cl  sistema  para  actualizacioncs  qm 
deban  replicarse. 

Para  soslayar  edas  dificultade*.  los  xidema*  distnbuidos  hail  urdtdo  otm 
edrategias.  basadas  en  rcpticadoecs  dc  transaccioncs  y  pcrmiticndo  registrm 
pendicntcs  dc  actual  i/ar  que  se  ponen  al  dia  al  levantarse  la  lirtea  de  comunicackaes 
caida.  Lo  quc  sucede  cs  quc.  para  quc  cste  esquema  dc  rcplicacidn  (sin  com  it  dc  doNc 
fasc)  funcionc.  oNiga  a  mantener  la  actualizacidn  en  un  unico  nodes,  lo  quc  supone  la 
liiuca  opcidn  para  mantener  la  consistencia  dc  los  datos. 
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Para  cotmo  dc  males.  la  liberal  i/acido  del  sector  de  las  te locomun  i  cut tones  >  el 
noemento  de  Us  redes  y  la  mejon  de  calidad  de  k*s  enlaces,  junto  al  incremento  de 
lot  cosies  de  desarrollo  >  mantenimienio  dc  los  sistcmas.  cspecialmcnte  de  los 
dislnbuidos.  inclina  defimliv amenlc  la  balan/a  en  favor  de  los  sistcmas  ccntrali/adov 

Resulta  curioao  que  en  el  momento  en  que  la  nucroinlormiiK  j  ha  adquindo  el 
(spectacular  desarrollo  dc  hoy  nos  plaiKeemos  el  retoroo  a  los  sistcmas  ccntrali/ados. 
prro  todo  uidica  esc  camtno,  ya  que.  ademis  de  los  ra/onamientos  cxpucsto*.  la 
tealidad  de  k>s  que  sc  nos  ofrece  es  incuestionaMe: 

•  Network  Computer  (NO.  Computadores  mis  simples  gobemados  por 
elemenUM  remotos  que  les  sumiiustran  k»s  programas  a  cjccutar 

•  Desarrollo  dc  navegadores  (Netscape  y  Explorer)  como  entoroos  de  trahajo 
uni  versa  les. 

•  Internet  como  paradigma  de  conexidn  y  protocolo  de  comunscaobn  (TCP/IP). 

Esic  nueso  modclo  sc  consort tf*  en  la  hase  dc  la  evotuoria  de  las  aplicaciones. 
lot  ccntros  de  proceso  y  los  ttsuano*. 

Las  aplicaciones  te  dc  cams  liar  an  para  mstalarse  en  entomos  Web  y  la  pane 
cliemc  (a  cjccutar  en  los  terminates  mis  o  me  nos  mlcligcmes)  en  cstindar  Java. 
Am  v  ados  o  sinu  lares 

Los  ccntros  dc  proceso  tc  centrali/arin  >  los  sersicios  sc  concctarin  con 
intranets,  extranets  y/o  Internet,  tomando  una  rdcvancia  capital  la  protcccidn  de  U 
arforraaodn  y  los  accesos.  sobre  todo  en  el  entoruo  de  negooos.  consaddrcnsc  los 
rtfoereos  para  pooer  en  marc  ha  el  cstindar  SET  para  sccun/ar  las  transact  tones  via 
burner,  cuestrdo  que  supone  integral  en  el  proceso  a  las  entidades  financieras  y  de 
ertdito  (es  un  paso  mis  adelante  del  traditional  EDI). 

lass  usuarios  sufririn  tambtdn  tambios  radicates.  poesto  que  los  dos  aspectos 
tnunores  son  la  base  para  podcr  trabujar  desde  cualquier  punlo  (a  trasCs  de  las  redes 
(bbiles  menc tonadas).  Unto  en  oTtcmas  como  en  ccntros  de  scrvtcio  o  domicilios 
putKularrs  servirin  de  base  para  todo  trabajo  que  te  pucsla  reaii/ar  a  trasCs  de  un 
eomputador.  es  decir.  aquel  en  el  que  uiwcamcntc  se  maneje  tnformactdn.  y  no 
podemos  olsidar  que  cl  sector  de  sersioos  (crcciente  en  cconomias  dcsanolladas) 
time  un  compooentc  impoctantisimo  de  trabajo  cuyo  fundamento  es  la  informacidn 

Para  juUiftcar  cuanto  antecede  y  sin  necessdad  dc  cjcrvilai  la  imagusacidn  haste, 
tdemis  de  coosidcrar  cl  desarrollo  del  teletrahajo  en  otros  paiscs.  la  expenencta.  por 
qonplo.  de  entidades  financieras  en  ul  asunto:  buncos,  aseguradoras... 
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15.8.  ALGUNAS  REFERENCIAS 

Detdc  cl  punto  dc  vitia  mctodoldgico  y  pom  ayudar  cn  cl  proccso  dc  recoptUndr 
y  tabulation  dc  la  informaodn.  atf  como  cn  U  nrdaecidn  dc  rcuilladox.  LOGIC 
CONTROL  ditponc  dc  un  progranu:  AUDINIORM  quc  funoona  cn  cnlorno  PC 

Aunquc  cada  fahricantc  «lc  equipO  d^pOM  «lc  ofcrtax  complcmcntur  iat  cn  cuinc 
a  hcrramieniat  para  admimttrar.  comrolar  y  monitorirar  ln\  titicmat.  cutset 
cspecialitlat  quc  %c  han  ccmrado  cn  dctanollar  paqocle*  quo  ayudan  a  nomtalirar  ink 
uru  tcrtc  dc  MpccttM  relaoonadot  con  la  tcguridad.  cl  control  y  la  momton/actdo  de 
kx  titicmat  quc  «  convicrtcn  cn  picrat  hiticat  para  la  atticulacidn  dc  loi 
procedi  mientot  dc  quc  he  mot  habtado 

Tal  et  cl  cato  dc  Computer  Auociatc*.  quc  con  tu  tittema  UNICENTHl 
prcicndc  integral  un  conjunto  dc  hcrramicnut  como  cl  devento.  huveando.  adcrak. 
una  homogcncidad  func tonal  dc  dichat  herramientax  cn  lot  diuintot  uticani 
operatives  (como  MVS  dc  IBM.  Uni*,  o  NT  dc  Microtoft),  lit  cycmplo  oMigado  cor 
CAE*aminc  quc.  cn  un  entorno  MVS.  permite  obtencr  cn  ticmpo  real  una  rctnida 
tohre  teguridad.  intcgndad  y  mecanitmot  dc  control,  cucuidn  quc  -pot  otrot  media*- 
rctulta  muy  cottoia. 

Tamhifn  cxiucn  compaAiat  cuya  ctpeciali/acido  contittc  cn  la  monitori/acido  de 
lot  titicmat.  tratando  alcrtat  dc  titicnut  ope  rat  not.  hates  dc  datot  y  aplicaoooei 
Tal  et  d  cato  dc  la  Ifnea  PATROL  dc  BMC  Software  y  otrat  tineas  como  TfVOLl  o 
product ot  dc  fahricantc  dc  toftware  de  hate  como  Oracle  Alert  (Oracle)  o  equip* 
como  A Vf Alert  (Data  General). 

En  cl  apartado  dc  lat  comumcactonct  cl  tittema  SNMP,  para  control  dc 
elementot  remotos  (a  travCt  dc  agente*  quc  re  port  an  informacidn  a  un  tittema  ccntnii. 
tc  ha  convcrtido  cn  un  ctidndar.  y  producto*  como  Opentiew  (HP)  o  Ncrview  (IBM), 
gettionan  la  informacidn  dc  cue  tipo  dc  agentet  para  permitir  una  adminittraofa 
ccntraluada  dc  elementot  remotot  de  red  (redet  WAN.  cttacionct  dc  trabajo  o 

elementot  ditli  i  Undue*). 

F.n  cl  compo  del  contraMc.  COMPASS  (sedc  cn  Barcelona)  reali/a  cn  EtpaAi 
euudiot  dc  instalaoonct  contidcrando  ditlintot  parimeeros  y  comparindolot  cot 
otrat  orgamracionci  (btnprorttctt)  y  ctiindarct.  producicndo  un  anlliut  y  d 
cofTttpondiciMc  thagndttico  dc  la  tnttalactdfl. 

En  materia  de  tegurot  TELA  IBERICA  tcompaAfa  rc-ateguradora)  ctpcciali/adi 
cn  titicmat  electron  trot,  constitute  una  referenda  tal  igual  quc  lat  pnncipalei 
compaAiat  de  tegurot  AG F  Feme.  La  EurcUa...)  como  ctpecialitu  cn  tegurot  de 
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*portes  de  datos.  software.  mantenimicnto  dc  actividad  ante  contingcncias  y  pcrdida 
4c  bcncfick*. 

lixittcn  organiracioncs  indcpcndicntcs.  como  cl  Transaction  Practising  Council. 
Use  real i /an  ptuebas  de  rcndimicntos  estindar  y  facilitan  datos  eerlificados  c  indepen- 
Amtes  del  funcionamicnto  dc  los  cquipos  Talcs  datos  sc  espresat  cn  Tpro-C  o 
TpmD  (iranvaccioncs  per  minuto  dc  lipo  C  o  D)  que  sirven  para  evalua’  la  potencia  dc 
In  mlqumas  y  contraslar  -con  la  requenda  para  cada  usuario  software-  la  valulcr  dc 
b  aMalacidn.  Los  re  Mikados  del  T  P  Council  cstin  disponiblcs  cn  Internet. 


15.9.  LECTURAS  RECOMENOADAS 

COBIT  (Control  Ofcjetnes  for  Information  and  related  Technology)  dc  ISACA 
(Information  Systems  Audit  and  Control  Association). 

Handbook  of  EDP  Auditing. 

En  general  la  mcnoonada  ISACA  constituyc  una  fucnlc  muy  amplia  cc  information, 
al  set  su  principal  objetivo  cl  control  y  la  audiioria  dc  los  SI.  Su  publicacidn  IS 
AUDIT  A  CONTROL  JOURNAL  publka  en  »u  niimcro  dc  1997  (%-otumcn  III) 
intcrcsantcs  anfculos  como: 

•  "Steps  to  auditing  Windows  NT”. 

•  "SAP  R/3  and  auditing  logical  access". 


15.10.  CUESTIONES  DE  REPASO 

1.  iQu<  imbito  abarca  actualmcntc  la  tlcmca  de  sistemas? 

2.  Defina  nivcl  dc  servicio. 

3  tvue  proccdimicntos  dcocnan  cxistir  para  la  insulacion  y  psxsta  cn  scmcio 
dc  un  equipo? 

4.  Enumcrc  los  pnncipales  aspcctos  a  contemplar  cn  la  resolucidn  de 
modcncias. 

5.  cCon  que  cnlenos  auditaha  un  plan  dc  infracstructura  tccnoldgica? 

6.  iCtVmo  afccta  la  hctcrogcncidad  dc  los  cniomos  a  la  auditor^  dc  tikmica  dc 
sistemas? 


7.  cPur  qu<  MX)  pcligrosat  algunat  ulilidadc*  quc  pcrmitcn  aeceto  diretto  a  lot 
dalos  o  a)  nuclco  del  uOcma  operative'.’ 

8.  jC6tna  afcctt  el  avancc  de  lav  comunicacionev  a  la  i&nica  de  uvtemav’  ,Y  a 
\u  audilona? 

9.  Analice  el  impacto  de  la  rcpltcactfa  de  dahn  cn  ud  coioroo  divtnbuido. 

10.  EvtaMe/ca  lov  principoles  criterion  para  cvaluar  herranueiMas  de  mooiie 
ri/acidn  dc  uiuma\ 
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AliniTOklA  I)K  LA  CAI.IDAI) 


lotf  Luis  Lucero  Manresa 


16.1.  PREAMBULO 

La  cilwlod  ha  dcyado  dc  ser  un  l6p*co,  y  forma  parte,  eo  ncccvano  que  forme 
P*rur.  de  loo  productoo  o  acrvicion  que  comcrviali/amoo  pan  nucotroo  clicntco.  Eoti 
incorporada  cn  nucotra  forma  de  ver  La  vida.  Cada  vez  cxigimoo  mas  quo  loo 
productoo  o  oervtcioo  que  noo  oumimotran  nucotroo  provccdoreo  tengan  el  ma>or  grado 
de  ealidad  denuo  de  un  prcoo  ra/onable.  HI  afonomo  dc  "El  prccio  sc  olvida  y  la 
alidad  perdura"  sc  hate  cada  oe/  mio  paten  te 

El  clientc  co  el  mejor  auditor  dc  la  (alidad,  II  cxigc  el  nivcl  que  corf  diopueo to  a 
pigar  por  clla.  pero  no  mi*.  For  tanto.  debemoo  de  cuantificar  coll  cs  cl  nivcl  de  Cali- 
dad  que  noo  exige  para  poder  pUmfscar  la  Calidad  de  loo  productoo  oemiclaboradoo 
<f*  sc  generen  a  k>  largo  del  proceoo  dc  produce  1  On  del  producto  o  scrvicio  final. 

Al  anali/ar  lax  neccoidadco  dc  nucotroo  clsenteo.  deberemoo  terser  cn  cucnta  tam- 
bCn  la  preoioiblc  evoluodo  dc  m  neccoidadco  y  tcndcncias  cn  cuanto  a  caraclertoli- 
as.  Debercmos  terser  cn  cucnu  la  cvolucidn  tecnoldgica  del  entoroo  dc  produce  »do  de 
meotroo  productoo  para  tuminiotrarloo  con  el  nivcl  tccnoldgico  adccuado  No  debe- 
los  olsidar  umpoco  cl  nivcl  dc  Calidad  de  nucotroo  compctidorto.  debiendo  claborar 
productoo  cuyao  caractcrfotkao  y  funcionaiidadet  scan  compctitivao  con  lao  dc  nueo- 
troo  compctidorco.  aoi  como  ou  calidad 

La  Calidad  oc  ha  consertido  cn  el  medio  dc  suboisar  dentro  de  un  me  re  ado 
competitiso.  lo  cual  bcneficia  al  consumidor  final,  c*  decir.  a  noootroo.  Eo  el  primer 
too  kigko  por  cl  que  las  empreoao  prcvakccn  cn  el  mere  ado.  el  oegundo  serf  la 
productividad  que  cmplcan  para  conocguir  coa  calidad. 
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I  j  ('alidad  vcri  cl  objctivo  global  a  conscguir.  y  la  Products idad  nov  vcodri  pot 
aAadidura.  nunca  al  rcvfs. 


16.2.  DEFINICIONES  PREVIAS 

Vamov  a  cicar  alguna*  definiciooes  dc  vano*  aulorev  qoe  nos  ayudar^n  a  ccocnr 
lo  quc  sc  entiende  pot  calidad: 

I 

•  J.M.  JURAN:  Adccuaodti  al  uso. 

•  I*  B.  CROSBY:  Cumplimicnto  dc  unas cvpccificacioncs 

•  W  E  DE.MING:  Un  grado  predecible  dc  uniformidad  y  fiabilidad  a  bayo  coot 
y  adccuado.  a  las  neccudadcs  del  mcrcado 

•  G.TAGUCHI:  Perdidav  minima*  para  la  vocicdad  cn  la  vida  del  producto. 

•  FEIGENBAUM:  Conjunto  dc  caractcrfvticas  del  producto  dc  martctiag. 
ingcnicria.  fabhcacidn  y  mantcnimienio  a  travds  del  cual  el  producto  en  sso 
vativfacc  lav  cxpcctativ  av  del  clienie. 

•  P  DRUCKER:  Calidad  cs  lo  quc  cl  clicncc  evti  divpocvto  a  pagar  en  funoie 
dc  k>qoc  obticnc  >  valuta 

•  AEC  (Asociacidn  Evpaftola  para  la  Calidad  >:  Conjunto  de  proptedadet  y 
caracterfstka*  dc  un  producto  o  scrvicio  quc  le  comficre  mi  aptitud  pan 
vativfacer  nccevidadcv  cvtablccidav  o  implkitav 

Los  Sivtemav  de  Informacidn  cada  \ci  cstln  iniv  prevents  cn  nucstra  actividad  y 
en  las  etnas  qoe  nov  rodean  y  quc  usamos.  Simple  men  tc  rccordar  qoe  cuando  vamos  a 
un  banco  cualquier  operacidn  qoe  haccmov  ttene  detris  un  SiMcma  de  Informacita.  d 
haccmos  un  veguro.  al  comprar  cn  un  vupermercado  o  cn  unov  grande v  almaccnet.  al 
pagar  con  noevira  larjeu  de  crtfdiio.  cn  todos  kn  cavov  hay  un  Sistcma  de  Informactdo 
qoe  evti  controlando  y  gevtionando  eviv  operaciooev  Incluso  al  arrancar  nocstro 
coche  hay  un  software  quc  chcqoca  kn  punten  vital cv  del  mivmo. 

En  cMe  capflulo  vamov  a  ccntrar  nuevtro  foco  en  la  Calidad  del  Software  y 
podemov  rccordar  la  definkidn  qoe  enconlramos  en  Premium: 

•  "Concordancia  con  lov  requisites  functonakv  y  de  rendimicMo  cxplkitamnte 
cvtabiccidov  cofi  lot  estdnJarts  de  detarrollo  rxplkiiamenie  doeumtntadot  y 
con  las  caracterfsticas  impllcitas  quc  sc  espera  dc  todo  software  dcsanotlado 
professorial  mente." 

En  esta  definition  podemos  dcstacar  quC  se  entiendc  pot  calidad.  el  cumplimicnto 
de  lov  reqoerimienun  qoe  sc  han  cstablccido  (normalmentc  por  el  usuario  o  el  clienie) 
y  las  "caracterfsticas  implicitas"  quc  debc  cumplir  todo  software  hceho  profesionat- 
me  Me  aparte  de  mi  realizactdn  segtin  unov  detemunadov  evundarev  Es  decir.  qoe 
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*4:  mis  tie  cumplir  coo  lac  ctpccificac  tones  quc  nos  ha  dado  cl  cIkiuc  o  cl  usuario. 
«rtv  cumplir  con  owns  camctcrfsticas  quc  sc  dan  por  sobreentcndido  quc  estln  dcntro 
del  'saber  tuccr"  de  un  buen  profesional  >  quc  no  cslin  cspcclficamcnic  cxplicitadas. 

En  muchas  ocasioncs.  esia  cirtunstancta  no  se  da.  y  algunos  dcsarTolladorcs  dc 
dtdosa  piofecion alidad  se  purapetan  Iras  la  frase:  "dc  eso  no  sc  da-run 
opccificacioocs".  para  oculiar  una  falta  dc  prcvisidn  o  una  carcncia  dc  habilidad  para 
efekner  del  usuario  cn  las  entrevisUs  la  information  nevesana  para  complclar  y 
ctocplcmcnur  los  rcqucnmicntos  funcionalcs. 


16.3.  INTRODUCCldN 

Al  dee  id  n  acomcicr  la  rcali/acsOn  dc  un  prodocto  software,  deberemos  hater  una 
(taniTicacn'in.  y  emre  otros.  habri  quc  hacer  un  Plan  de  Calidad  espccffico  para  esc 
prcducto 

En  el  centro  de  produced  dc  software,  dchcra  haber  un  Plan  General  dc  Calidad 
a  el  quc  csiaran  las  cspccificacionc*  para  poder  deftnir  cada  uno  de  los  Planes 
npecilkos  de  nucsiros  desarrollos  cn  funcuSn  de  los  alributos  dc  Calidad  quc 
deseamos  implcmeniar  cn  el  software. 

En  cMc  Plan  *c  definen  las  acrividadcs  de  Calidad  quc  sc  licnen  quc  realirar.  cn 
qrt  mo  memos  ticnc  que  inters  cnir  la  fursciAn  dc  AseguramieMo  dc  la  Calidad.  quc  a 
dltrcno.i  del  Comrol  dc  Calidad  inlcrvendrd  proponicndo  y  supers  isando  los 
I  pmcevM  dc  calidad  a  rcali/ar  en  la  fast  de  generation  dc  los  dislimos  eomponenics. 
■dKrencia  a  cstfndarc*.  y  la  intensidad  dc  aplicacidn  de  la  riusma  scgiln  la  criiicidad 
dt  los  productos  y  cl  nivcl  dc  riesgos  quc  sc  haya  cncomrado  cn  la  cvaluaciAn  del 


Dcntio  de  e»le  capttulo.  coino  no  podrfa  scr  menus.  nos  vamos  a  refenr  a  una 
•me  de  normas  que  afectan  a  su  coniemdo.  y  en  algunos  casos  incorpora  re  mos 
dftros  de  sus  pirrafos  o  apart  ados  completos. 

En  el  caso  de  los  proccsos  de  revisiones  de  calidad.  tenensos  la  norma  IEEE 
I  Scmiard  1028  for  Software  Reviews  and  Audits. 


El  objeto  de  esta  norma  es  defimr  los  requcrimienlos  para  los  proccsos  de 
itudn  y  audilorfa.  No  estd  dcntro  de  su  cometido  cl  esubkeer  cudndo  sc  nccesita 
dual  un  proceso  dc  rcvisiAn  o  dc  auditoria.  quedando  deternunado  cstc  aspecto 
mo  de  los  Planes  dc  Ascguramicnto  de  la  Calidad  especiftcos  de  cada 
juiracsAn.  segtin  sc  lu  indicado  antcriormcnte. 
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En  dacha  norma  da  las  siguicntes  defimooocv: 


16.3.1.  Revisi6n 

E»  un a  evaluation  del  clemctMo  o  elemeniov  software  o  evtado  del  proyccto  <pe 
invevtiga  lav  discrepancy*  con  lot  revuludov  plamficados  y  lav  rcejew 
rccumrndadav  EvU  evaluation  vague  un  procevo  formal  (por  e>emplo.  procevo  it 
revision  dc  gesliOn.  procevo  de  revision  lOctuca.  procevo  dc  inspection  de  voftwKC.0 
procevo  de  *alkthroughk 


16.3.2.  Elemento  software 

Ev  un  produclo  eniregahlc  o  un  documcnto  producido  durante  el  procewo 
adquirido  durante  cl  dcsam>lk>  o  mantemmiento  del  software.  Algunus  ejempta 
pueden  scr: 

1 .  Documentov  de  PlamftcaciOn  del  pro) eel o  (por  cjcmplo.  planes  del  devamb 
del  software  y  planes  de  verificaciOn  y  validation  del  software) 

2.  Evpecificaciones  de  rcquenmieniov  y  diveOo  del  software 

3.  Documentation  del  evfocrro  de  lav  pruebas 

4.  DocumcntaciOn  summistrabk  al  cliente. 

5.  COdigo  fuente  de  kn  programav 

6.  Representation  de  las  solus  tones  software  impkinentadav  cn  cl  firmware. 

7.  Informes  (por  ejemplo.  reviviones.  auditorias  y  csrado  del  proyccto)  y  dam 
(por  cjcmplo.  detection  de  defect  os.  pruebas). 


10.3.3.  Auditoria 

Ev  una  cvaluaciOn  independiente  de  lov  proccvos,  I  os  productos  software,  d 
progrewi  del  proyceto  o  el  cOmo  sc  reali/a  el  (rabajo.  que  mvevtiga  la  comcidencuco* 
los  cstindarcs.  lineas  gufa.  cspcsificactoocs  y  proccdinwentov  bavadov  cn  criteria 
objctivos  que  incluyen  los  documentov  que  cspecifican: 

1.  Ij  forma  o  cootenido  de  los  productos  a  producir. 

2.  Los  proccvos  cn  los  que  lov  productos  deben  set  prodoc  idov 

3.  COmo  dehe  ver  medida  la  adhercncia  con  lov  estindarev  o  lineas  gula. 
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Tambtln  incluimot  otras  dcfmiciones  segun  la  EEA1. 

16.3.4  Concepto  de  evaluacion  segun  la  EEA1 

b  cl  proccto  dc  rcooleccidn  y  anil  t  sis  de  inlormaciAn.  y  a  partir  dc  clla  presenter 
l»  rtcomcndacioncs  que  facilitarin  la  coma  dc  dccisiooct.  Las  decitionet  rcsuliantcv 
de  esta  evaluaodn  o  valoracidn  pucdcn  dar  lugar  a: 

•  Autoruacidn  para  precede*  con  un  pcoycclo 

•  Aprobaodn  para  incluir  en  las  hois  a  nunw  coMrutUt  o  sumnastradores. 

•  Dcfenva  dc  la  aprobacido  de  un  contraiista. 

16.3.5  Concepto  de  Auditors  segun  la  EEA' 

Es  una  herramienu  dc  valoracidn.  Ev  un  documento  inicrpcrvonal  dc  examen  y 
■thus  de  esidencias  objetivas.  A  lot  cfcciot  del  control  de  la  c alidad,  una  auditoria 
•o  induyc  vigilancia  o  inxpeccidn  coo  el  objeto  de  un  control  dc  calidad. 

Dche  rccotHver  que  solo  una  muettra  de  la  informacidn  ditpotuvlc  puedc  ter 
eunsinada  Que  es  importante  que  el  tamaAo  de  la  muettra  dc  la  audiwria  aporte  la 
confunra  suficaentc  en  las  recomendaciones  finales. 


16.4.  CARACTERfSTICAS  DE  LA  CAUDAO  SEGUN  ISO  9126 

Antes  dc  detallar  lot  Procevn  de  Calidad.  vamot  a  desenbir  lot  ccmponcntcs  de 
uu  espccificaciOo  de  calidad  del  software  segun  cl  modclo  definido  en  la  norma  ISO 
9126  y  el  modelo  extendido  ISO  para  la  Calidad  del  Software 


16.4.1.  Caracteristicas 

Segun  la  citada  norma  ISO  9126.  define  las  caractcrittkat  de  calulad  como  “Un 
ocujunu>  de  atnbutos  del  producto  software  a  trav6*  de  lot  cualcs  la  caliiad  es  detenu 
y  oaluada".  Las  caracteristicas  de  calidad  del  software  puedm  ter  prec  sadas  a  trav6s 
6c  nUtiplet  nisclcs  dc  subcancterittacav 

Dicha  norma  define  sett  caracierisucat: 

FuncumolulaJ:  Coojunto  de  atnbutos  que  se  refieren  a  la  exiaencia  de  un 
cenpinto  de  funoooes  y  sus  propiedades  especificav  I -as  funciooct  son  talcs  que 
cunplen  unos  requcmnicntos  o  tatisfaccn  unas  necetidadcs  implicitav 


'Otllc  to  Scdtuan  Quality  AaJu  de  la  EEA.  lEKstmuc  Enfwrnng  Assotiaocai 
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httbilultid  Conjunio  dc  atributos  que  sc  rcficrcn  a  la  capacidad  del  soft* art  de  J 
maiMcncr  su  nisei  dc  rcndimicnio  hajo  unas  condicioncs  espccificada*  durante  an 
periodo  dcfmido. 

Uwhilidad:  Conjunio  dc  atributos  que  sc  rcficrcn  al  csfucr/o  nccctano  pm 
usarlo.  y  sobre  la  valoracidn  individual  dc  lal  uso.  poe  un  conjunio  dc  uuunot 
defimdos  o  implicilos. 

Eficitntia:  Conjunio  dc  aiributos  que  sc  rcficrcn  a  las  rclackwics  cnirc  el  nivd  de 
rcndimicnlo  del  software  >  la  canlidad  dc  rccursos  utili/ados  bajo  unas  coodiacae* 
prcdcfmkUs. 

Manitnibilidad.  Conjunio  dc  aiributos  que  sc  rcficrcn  al  csfucr/o  ncccxano  pm 
haccr  modificaeioncs  cspccificadas. 

l‘onabiUdad\  Conjunio  de  aiributos  que  sc  rcficrcn  a  la  habilxUd  del  software 
para  set  tnnsfendo  desde  un  entorno  a  otro. 

l-a  norma  incluyc  un  ancxo  cn  cl  que  dcsglosa  cn  un  conjunto  de 
subcaractcrfsticas  cada  una  dc  las  caracicrfsiicas  antcriormcntc  citadas.  F.sic  ancio 
puede  considcrarsc  informative  y  no  como  parte  oficial  del  cstindar  ISO  VI 26. 

El  prcftjo  sub  nos  hacc  dcstacar  un  impoctantc  aspccto  del  tnodclo  ISO  9126:  La 
calidad  cs  modeli/ada  cn  forma  jcrirquica.  En  la  figure  adjunta  sc  inclujc  uai 
representation  dc  csie  modelo  jcrdrquico. 
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16.4.2.  Modelo  ISO  Extendido 

F.l  modelo  ISO  Extend  mJo  incluye  al  modelo  ISO  9126  adicionando  docc 
cara.-terfsiica\  mis.  segtln  vc  expone  cn  la  figura  adjunia. 


La  valoracidn  de  cxias  caracterixticax  es  tilil  para  que  cl  usuario  pueda  definir  lot 
itquerimicnios  del  product  o  utili/ando  soLamcntc  lax  caracteristicax  que  emplee  cn  la 
pricl  tea. 

Paw  algunos  tipos  de  productox.  hay  dcienninadas  caracteristicax  que  no  son 
lignificatixas.  y  lax  resranlex  no  garantizan  que  con  ellax  cwmprendan  lodos  lot 
Kquerinuentot  de  kn  productox.  por  lo  que  cn  cada  cato  habri  que  complctarlat  con 
otrax  dcfimcioocx  mix  espeeffteax  para  exox  productox  o  situacioncv 

No  obstante  el  modelo  Irene  cl  nisei  de  abxtraccidn  suftcicntc  como  para  que  sea 
adaptable  en  la  mayoria  dc  lax  xituacione*.  xiendo.  ademit.  independiente  de  la 
tecnologfa. 

Lax  caracteristicax  no  poeden  ser  cuantificadax  como  talcs,  y  para  cuanti  Hear  lax 
tn  alguna  forma,  usaremos  lox  "Indicadorcs". 

Para  uxar  lox  indicadorcs.  deberemos  definir  un  "Protocolo".  dc  forma  que 
medun te  dkho  protocolo  podamox  establecer  la  medida  de  la  caracteriuica  repeiiblc. 
Eue  protocolo  nos  describtri  loa  posox  que  hay  que  dar  para  conscguir  obtener  exta 
eedida  dc  forma  tal  que  cn  las  mismas  xituacioncs  obtengamos  iddnlicos  resuludox. 


Los  indication's  que  describen  en  el  modelo  ISO  Exlcndido.  sirvcn  como  putto 
de  panida.  no  qucriendo  dectr  que  esa  liua  sea  complcta.  En  ella  sc  pretenda 
prcsenLar  ideas  para  poder  definir  las  espccificacioncs  dc  calidad.  sicndo  irmj 
importanie  sclcccionar  los  indicadores  que  mejoe  te  ajusten  a  la  situacidn  de  rtueuro 
peoycctn  o  producto 

E)  protocolo  de  medida  liene  como  objctivo  el  reproducir  los  rcsultado*  de  las 
mcdiciones  de  los  indicadores.  Scgdn  te  ha  indicado  anieriormenie.  al  desenbir  lot 
requenmiento*  de  la  calidad  del  software,  sc  cone  cl  pcligio  de  una  mierpreuciAs 
subjetiva  del  signifleado  de  calidad.  lie,  por  tamo,  dc  gran  impoflancia  acordar  de  tea 
forma  clara  edeno  medir  los  indications  de  forma  que  esta  medida  sea  reproducible 
con  los  mismos  rcsultados. 

F.jemplo'': 

Si  dcscamos  medir  el  atribwo  Facilidad  de  aprrndi/ajc.  que  podemos  definir 
como  el  esfuereo  de  los  usuanos  para  aprender  a  manejar  una  aplicacidn. 

Podrfamos  hacer  una  cuantificacidn  ficil.  si  podieransos  medir  dc  una  forma 
objetiva  un  factor  de  Facilidad  de  apreodizaje  de  7  sobre  10.  peeo  cstc  no  scria  miy 
descriptivo  ni  litil. 

Podemos  buscar  un  indicador  de  este  atnbuto  que  estuvtcra  presente  en  el 
producto  software,  lisle  indicador  debe  estar  acompaAado  del  Protocolo  de  modidi 
que  desenba  los  pasos  a  Jar  para  asegurar  la  repetitis  idad  de  la  medida. 

En  estc  ejempto  hemos  tornado  como  indicador  el  tiempo  medio  dc  aprrndiraje, 
siendo  el  tiempo  promedio  que  el  usuano  final  de  un  determinado  grupo  necesita  pan 
aprender  a  trabajar  con  el  producto  software,  mis  el  tiempo  neccsario  de  tutelage 

El  protocolo  scria: 

I  Sclcccidn  dc  un  gmpo  representative  dc  usuanos 

2.  Prcparactdn  de  un  curso  para  este  grupo.  dueftado  para  este  producto  software, 
o  dar  a  este  grupo  la  opommidad  dc  auto-cnscAanza  del  producto. 

3.  Dcfinicidn  del  tiempo  del  curso  o  de  la  auto-enseAanza.  mis  cl  tiempo  de 
tutelage  neccsario  para  coeueguir  su  manejo  o  pasar  con  dxito  un  lest. 

4.  Cilculo  del  ndmero  medio  dc  boras. 


'  "Spcvrfyini  Kiftwwr  quatrfs  die  rslrndrd  ISO  moder  R.HJ.  Van  Z«U  and  PR  It 
Mcsdr»ft.>  ( Soft*  ttt  Qotlil)  juutful ) 
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Los  vilorei  obtcmdos  de  las  caracierfscicas  sc  porden  represents  cn  un  diagranu 
de  Kisiai  segdn  sc  muestra  cn  La  figure,  cn  cl  que  cn  cada  radio  nos  moor  an  a  cl  valor 
dr  una  caracicrfslica. 

HI  valor  dc  los  indicadocex  dcpcndc  del  prop&sito  dc  la  cspecifkacidn  dc  calidad. 
pudiendo  definirse  difcrcMcs  valorcs.  Es  aconscjahlc  uvar  una  planiilla  con  cslos 
ntoes.  A  continuacidn  sc  expone  un  pcqueAo  cjcmplo  dc  cste  tipo  dc  planiilla'. 

Pcor:  HI  pcor  Ifmite  acepcabk  dc  la  etcala.  Ul  corno  un  fallo  local  del  sistema. 

PlanMcudo:  Valor  esperado  del  indicador  que  sc  considers  un  dxito. 

Record:  Miximo  valor  tedrko  o  prictico  dc  un  indicador.  valor  Umilc  pero  no  un 
requerimiento  esperado. 

Actual:  Valor  actual  del  indtcador  cn  cl  sislema  que  sc  csli  considcrendo  a 
efeetos  dc  posiblcs  compuracioocs 
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Como  cvpcncncia  prActica  del  uso  del  modelo  ISO  Extcndtdo  teneram  U 
reali/ada  por  lax  compaAias  participantes  en  el  proyecto  QUINT  (Quality  in 
Informal  km  Technology  >'  cuyo  primer  proyecto  cmpcrd  en  1991.  wendo  su  objctno 
cl  dcxarrollar  un  modelo  y  una  gu(a  para  lax  especificacione*  de  calidad  del  software. 
partKipando  todas  tax  panes  involucradas  en  la  negociacidn  sobrc  los  rcqucrimicntos. 

F.l  scgundo  proyecto  QUINT  expandid  los  rcsultados  del  primero.  En  <1 
partiopuron  sci.s  compoAta  hajo  la  dircccidn  dc  los  institute's  de  inveMigacidn  SERC. 
TNO/TPO  y  I  PIQM 


16.5.  OBJET1VOS  DE  LAS  AUDITORIAS  DE  CALIDAD 

Una  auditoria  dc  Calidad  lienc  como  objetivo  cl  mostrar  la  tituacidn  real  pan 
aportar  confianza  y  deslacar  las  Areas  que  pueden  afectar  adsersamentc  esa  confianra 

Hay  varias  ra/ones  para  rcali/ar  una  auditoria: 

•  EstaMcccr  cl  estado  dc  un  proyecto. 

•  Vcnficar  la  capoctdad  dc  rcalizar  o  continual  un  trahajo  espccifico. 

•  Veriflcar  qu<  elementos  aplicablcs  del  programs  o  Plan  de  AscguraimcMo  dr 
la  Calidad  han  tido  dcsanollados  y  documcnlados. 

•  Vcrificar  la  adhcrcncia  dc  csos  elementos  con  cl  programa  o  Plan  dr 
Aseguramiento  de  la  Calidad. 

El  propdsito  y  la  actividad  de  la  auditoria  c*  recoger.  exammar  y  anali/ar  la 
informacidn  nccesana  para  tomar  las  decisionet  de  aprobacidn. 

La  auditoria  debe  tener  capacidad  para  investigar  la  pericta  tfcnica,  el  desanoHo 
del  software  o  la  capacidad  del  departamento  de  desanollo.  el  esfuer/o  disponible.  cl 
soporte  del  mantemmiento  o  la  efcctividad  de  la  gestido. 

En  las  auditorias  debe  acordarse  el  dirigirxe  a  entenos  especificos  tales  como  la 
rcaliracidn  del  eddigo  software. 

Cuando  se  identifiquen  los  pantos  ddbile*.  los  auditorcs  dcbcrAn  tomar  mu 
actitud  poutiva  y  utilizar  sus  conocimicntos  y  experiencia  para  hacer  rccomcndac tones 
constructivas.  En  realidad.  una  funcidn  del  auditor  es  pactar  la  idoneidad  de  cualquirr 
acctdn  conectiva  propuesu.  Eae  papcl.  si  es  usado  adccuadamcntc.  es  uno  dc  los 
vinculos  mAs  xalorados  entre  las  partes. 


‘  "QUINT  Hrl  tproferr*  <«  mils «-h sfalol".  Klumn  Bcx>ijK»ft*n\cHjppcn.  Dnnrn,  lh 
NrthfrUndv  ISBN  00  267  1*06  X  ( 1992 1 
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16.6.  PROCESOS  DE  CALIDAD 

En  el  entomo  ecoodmico  actual.  U  caracterfstica  mis  impatantc  cs  U 
coanpctitividad.  lo  quc  quicre  decir  quc  los  pretios  a  las  que  ofre/camas  nuextros 
productos  a  nuextros  clknlex  dcben  set  iguaks  o  mis  hajos  quc  los  de  la  competent  u. 
pew  con  una  calidad  mis  alu.  Para  conscguirlo  cs  ncccsano  tenet  una  cstructura  de 
cosies  adccuuda  >  dixponcr  de  una  estralcgia  de  Calidad  que  afcctc  a  todis  las  ircas  de 
la  enlidad  u  organismo. 

Para  salisfaccr  los  requisites  de  calidad  es  ncccsano  cooocer  las  No.'csidadcs  del 
Cheiuc.  (Lxta*  vicnen  dadas  por  esios  ires  parimetro*: 

•  Calidad  de  los  productos  y  scrvicios. 

•  Plazo  de  cmrega  adocuado 

•  Coste  dentro  de  los  limites  fijados. 

El  cstablecimicnlo  de  acuerdos  de  Nisei  de  Servicio  y  el  cumpliniento  de  tut 
itqumimcntos  le  dart  un  determinado  grado  de  satisfaccidn.  que  deteremos  saber 
«*d a  sobre  lodo  una  vex  patado  cl  periodo  de  cstabilixacidn  del  product*  entregado. 

Una  de  las  print ipalc*  caractcrfstkax  de  lot  pruccsot  de  calidad  es  It  repetitividad 
4  lot  mUmov  Todo  process)  debc  estar  sulicicntementc  definido  ctmo  para  que 
puedt  ser  repetido  consiguicndo  lot  mismot  result  ados  coda  sex  que  se  realise  cl 
nuno  proceso.  la  idea  "Sigma"  esti  umda  a  la  vanabilidad  de  un  proceso. 

Una  vcz  alcanxada  csta  repetitividad  de  los  procesos  y  icnicndo  elementos  para 
note  lot  atributos  de  los  productos  obtenidos.  trataremos  de  ir  rclinonJo  el  modclo 
41  proceso  para  redueir  los  dcfecios  cniregadot  (dcfmkndo  defecto  ccmo  cualquicr 
wsackm  de  una  caracteristka  esiabketda  que  ongina  el  incumplinicnto  de  las 
xcesidacks  ski  clientc  con  la  consiguientc  msaiisfacckn  del  mismo) 

Como  se  ha  indteado  anterior mente.  las  res  isioncs  y  las  auditorias  puetkn  usarse 
para  actividades  de  atcguramknio  de  la  calidad.  gestKSo  dc  proyectos.  gcstiOn  dc  la 
enfigoracidn  o  funoooes  de  control  si ngu lares 

Segiin  el  extindar  IEEE  102*.  incluimos  una  tabla  en  la  quc  se  scAalan  los 
ptacipalcs  Procesos  para  conscguir  Objctivos  dc  Calidad. 
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Principals  Procecat  para  romcguir  Objrtiw  dc  ('alidad 


n  iWnfUTY:  ^ 

—  1 

Evaluation 

Revisions  dc  Gcatidn.  Revisions  Tdcnicat 

1  Vcnficacidn 

Inspections,  Wallth/outh 

Validation 

Pnicbas 

Confomudad.  Confimtacidn 

Audilorfa 

Tambkn  cn  la  figura  MguietHe  sc  reflcja  ia  rclacidn  cntrc  proccw*  y  producM 
dcntro  dc  la  actividad  dc  AwguramicMo  dc  la  Calidad. 


Relacidn  entre  Procesos  SQA  con  Product  os  y  Proyectos 
PROOUCTO  PROYECTO 


IS  — 

c 

AMBOS 


El  c  union  dc  los  aspectoc  tdcnicot  >  dc  gcstidn  sc  rcali/a  cn  Yaria*  faces  duraak 
cl  cklo  dc  vida  del  proycclo.  El  rtsultado  mn  controls  para  permitir  mejo car 
mftodoc  y  asegurar  la  calidad  del  software  y  la  poubilidad  dc  coo ju gar 
rcUrxviooc'  dc  I  tempo  y  covtc  La  cvaluacidn  dc  los  elementm  software  sc  realm 
durante  la  gcncracidn  tie  out  clementos  y  a  hi  tlrmtno.  Esto  asegura  que  lot 
clementos  terminados  exprevan  con cc lame imc  las  c  specific  octooes  dc  su  "linca  bate" 


w  sr 
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C'ualquicr  proccso  cslindar  ticnc  unas  condicionc*  como  prencquisaav.  fstas  son 
acccsarias.  aunquc  no  son  suficientet  cn  si  mismat  para  que  cl  proccso  qucdc 
rompietado.  Para  las  rcvisiooes  las  audnorfas  las  condiciones  son: 


Prtrrcquisitos  cn  los  Proccsos  de  RcvWdn 

hi  objetivo  dc  una  Revision  dc  un  dcmcnio  software  e*  evaluar  cl  software  o  el 
Made,  del  peoyccto  para  tdcntificar  las  ditcrcponciat  vobre  los  rcsultado.  plamHcados 
v  recomcndar  mejoras  cuando  sea  apeopiado. 

Kn  la  figura  dc  la  pigina  siguicntc  sc  rcflcjan  los  prerroquisitos  del  Proccso  dc 


El  objetivo  dc  la  auditoria  del  Software  cs  sumimstrar  una  cvaluacion  objetiva  dc 
bs  productos  y  los  proccsos  para  conoborar  la  confonmdad  con  los  cstf  ndarcs.  las 
Incas  gufa.  las  cspcctftcacioocs  y  los  procedimicntos.  Los  siguientcs  requcrimicnlot 
wo  prcrrequisito*  para  conseguir  cstc  objetivo: 

1.  Objetivo  dc  la  auditoria.  critcrios  cxistcntcs  (por  cjcmplo.  contratistas. 
requerimientos.  planes,  cspecificacioncs.  estindarcs)  cn  relation  con  los 
clemen (os  software  y  los  proccsos  que  puedan  scr  evaluados. 

2.  El  personal  dc  auditoria  cs  sdecckmado  para  promoter  los  objetivos  del 
gnipo.  Son  indcpendtenics  dc  cualquier  responsabilidad  directa  para  los 
productos  y  los  proccsos  cxaminados  y  pucslcn  prosenir  de  una  organizacidn 


3.  El  personal  de  auditoria  debe  tener  la  suficiente  autondad  que  le  permita  una 
adccuada  gestMbi  con  el  fin  de  reali/ar  b  auditoria. 


16.7.  EL  PROCESO  DE  AUDITORfA  DEL  SOFTWARE 

I .  Objelifo.  Scgiin  sc  ha  indscado  cs  proven  la  confirmacnSn  dc  U  confurmidad 
de  los  productos  y  lex  proccsos  para  ccrtiftcar  la  adhcrcncia  con  los  esundarts.  tineas 
pda.  cspccificacioocs  y  proccdimicntov 
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2.  Rtutmtn.  I  j  auditorfa  es  rcalizada  de  acuerdo  con  los  planes  y  proccdimieMet 
documcntadov  1:1  plan  dc  auditoria  oublccc  un  proccdimiento  para  dirigir  b 
auditoria  y  para  las  accioncs,  dc  seguimicmo  sobre  lit  rccomcndackxtct  dc  b 
auditoria. 

Al  realizar  la  auditorfa.  cl  personal  dc  la  auditorfa  evalda  los  ckmcMos  software 
y  Ion  proccsos  para  contrasurlos  con  los  objctivos  y  crilcrk»  dc  la  audilorfa.  Uict 
como  contratos,  rcqucrimkntos.  planes,  cspecificacioncs  o  pruccdinucMos.  Ifneas  gab 
y  cstindarcs. 

Los  rcsullados  dc  la  audilorfa  wn  documeniados  y  remiudos  al  director  dc  b 
organizacidn  auditada,  a  la  entidad  iniciadora  dc  la  auditoria.  y  a  cualquicr 
organizacidn  externa  idcntincada  cn  cl  plan  dc  auditorfa  El  informc  incluyc  una  boa 
dc  elcmcntos  no  conformed  u  otros  aspcctos  para  Us  postcriorcs  rcvisioncs  y  acetones. 
Cuando  sea  cstipulado  cn  el  plan  dc  auditorfa.  las  rccoinendaciones  son  informadat  e 
incluidas  cn  los  rcsullados  dc  la  auditoria. 

3.  Rfiponuibtlidade <  espedaUs.  Es  rexponsabtlidad  del  Ifdcr  del  cquipo  dc 
auditoria  cl  organizar  y  dirigir  la  auditoria  y  la  coordinacidn  dc  la  preparation  dc  kn 
puntos  del  informc  dc  auditoria.  El  Ifdcr  del  cquipo  debeta  asegurar  que  cl  cquipo  de 
auditoria  csti  preparado  para  Itcvar  dsta.  y  que  los  proccdimicntos  y  los  distinios 
puntos  son  rcalizados  y  reflejados  cn  los  infomics  dc  acucrdo  con  su  okancc. 

l.a  entidad  iniciadora  de  la  auditorfa  es  responsible  para  autoruar  dsta.  La 
dircccidn  dc  la  organtzacido  auditors  asumc  la  rcsponsabilklad  dc  U  auditorfa.  y  b 
asignacidn  dc  los  recursos  ncccsarios  para  realizar  dn-ha  auditoria. 

Aqucllos  cuyos  productos  y  proccsos  son  audilados  vumimMrarin  todos  los 
matcnalcs  y  rccursos  re Ic varies  y  corrcgnin  o  resol serin  las  dcfkiencias  citadas  pee 
cl  cquipo  dc  auditorfa. 

4.  Emrada.  Sc  requieren  las  siguientes  entradas  para  reali/ar  U  auditoria: 

1 .  El  propdsito  y  alcancc  dc  U  auditoria. 

2.  fntcrios  obyctisos  dc  la  auditorfa.  tales  como  contratos.  requenmientov. 
planes,  cspccificacioncs.  proccdimicntos.  lfncas  gufa  y  cstindarcs. 

3.  Los  elcmcntos  software  y  los  proccsos  a  auditor  y  cualquicr  antecedent 
pertinentc. 

4.  Infoemacidn  complemcnuria  rcspcclo  a  la  organizacidn  responsible  de  los 
productos  y  los  proccsos  a  auditor  (por  cjcmplo,  organigramas  dc  la 
organizacido). 

5.  Criterio  de  comienzo.  La  ncccsidad  para  que  una  auditorfa  sc  inkic  debe  set 
por  uno  de  kxs  siguientes  sucesos: 


1.  Se  ha  alcanrado  un  hito  especial  del  proyccto.  La  auditorfa  e*  iniciada  por 
planes  previos  (poe  cjemplo.  cl  plan  dc  aseguramiento  dc  calidad.  cl  plan  dc 
desarrollo  del  software) 

2.  Partes  extemas  (poe  cjemplo.  agcncia\  regulation*  o  usuahos  finales) 
demandando  una  auditorfa  en  una  fee  ha  especlfica  ocaun  hilo  del  proyccto. 
fi.su  poede  ser  por  la  rcalizacidn  de  un  requerimiento  de  un  contnuo  o  como 
prerequisite  a  un  acucrdo  contractual. 

3.  Un  elemento  dc  la  organization  local  (por  cjemplo.  el  director  del  proyccto.  la 
dirccckta  funcional.  ingcnicria  de  snicmas.  aseguramiento  o  control  interno  dc 
la  calidad)  ha  requendo  la  auditorfa  cstableciendo  una  ncccsidad  clura  y 
cspccffica. 

4.  Un  hito  especial  del  proyccto.  fee  ha  dc  ealendario.  u  ouo  enteno  ha  sido 
alcan/ado  y  dentro  dc  la  planificacidn  dc  la  organi/acidn  de  auditorfa  Ic 
corrc'pondc  la  iniciacidn  de  una  auditorfa. 

6.  Proffdtmttntoi: 

6.1.  Planlflcackin.  La  organizacido  de  auditorfa  debe  desarrollar  y  documentor 
m  plan  dc  auditorfa  para  cada  auditorfa.  F.ste  plan  deberi  apoyarsc  en  cl  akancc  de  la 
ndciorfa  idcntificando  lo  siguiente: 

1.  El  proccso  del  proyccto  a  examinar  (suminisirado  como  entrada)  y  cl  liempo 
de  obscrvacidn  del  cquipo  de  auditorfa. 

2.  Lo*  requerimiento*  del  software  a  examinar  (suministrado  como  entrada)  v 
mi  dispomhilidad.  Cuando  sc  usa  el  muestreo.  debe  utilizarse  una  metodolo- 
gfa  estadiuica  vilida  al  rcspccto  para  cstableccr  lo*  crilcno*  dc  seleccidn  y 
cl  uitufto  dc  la  muestra 

3.  Los  informes  serin  identificado*  (informc*  de  rcsultados.  y  opcionalmcntc  el 
informe  de  rccomendaciorie*  y  defmido  su  fomvato  general).  Si  la*  reco- 
mcndaciones  son  requerida*  o  cxcluida*.  debe  ver  mdicado  expUcitamcntc. 

4.  Dislnbucidn  de  informc*. 

5.  Requerimicntos  dc  las  actisidades  de  seguimieMo. 

6.  Requerimicntos.  actividade*  ncccsarias.  ckmcntos  y  proccdi  mientos  para 
cubrtr  cl  alcancc  de  la  auditorfa. 

7.  Objetivo*  y  entenos  de  auditorfa:  prosccn  la*  bases  para  dcterminar  las 
coincidcncia*  (Mimimstradas  como  entrada). 

8.  Plroccdimientos  de  auditorfa  y  listas  dc  comprobacuSn. 

9.  Personal  de  auditorfa:  ndmero  requerido.  perfiks.  cxpcricncia  y  respect- 
sabilidades. 

10.  Organiracione*  involuendas  en  la  auditorfa  (por  cjemplo.  la  organi/acidn 
cuyos  productos  y  proccso*  cstin  siendo  auditados). 

11.  Fccho.  bora,  lugar.  agenda  y  la  audiencia  a  quien  sc  dirige  la  sesidn  dc 
introduction  (optional). 
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F.l  liiVr  del  exjuipo  <lc  audiioria  axegurari  que  su  cquipo  csti  preparado  c  include 
lox  nuembrox  con  la  c.vpenencia  y  pericia  nccexaria. 

La  notificackki  de  b  audiioria  a  lax  organi/acionex  involucradax  debc  icalianc 
con  una  arncr loodad  razonablc.  exccpio  cn  cl  caxo  de  lax  auditoriax  no  anunciadiv  U 
noeificaeidn  dcheri  xcr  hecha  por  etcrito  y  deberi  incluir  cl  akancc  la  idcntificacxte 
de  I  ox  proeexox  y  produciox  a  audilar,  axi  como  la  identification  de  lox  auditorex. 

6-2  InlroducckW).  Opcioculmentc  ex  recotnendahle  hater  una  reunite 
introductoriu  con  la  organization  a  audilar  cn  cl  memento  del  arranque  para  exanuaa  ■ 
lax  favex  de  la  audiioria.  I-a  reunion  de  inlroducciOn  encabc/ada  por  el  lidcr  del 
cquipo  de  audiioria.  abordard  lo  siguiente: 

1.  Introduction  vobre  lox  acuerdox  cxtxtcnicx  (por  ejempto.  alcancc  de  la 
audiioria.  plonificaciOn.  contralox  afecladox). 

2.  Introduction  de  la  producciOn  y  proeexox  a  xcr  audiladox. 

3  Introduction  del  proeexo  de  audiioria.  xux  objenvos  y  xux  xalidax. 

4.  Coniribucioncx  experadax  de  la  organization  audilada  al  proeexo  de  audrtoria 
(numern  de  perxonax  u  cnircvixtar.  (acilidadex  pura  tcumoncx.  etc.). 

5.  PlanificaciOn  cxpccifica  de  U  audiioria. 

6.3  Preparation.  Ixw  xiguicmcx  puntox  xon  rrquendox  para  la  preparation  dd 
cquipo  de  audiioria: 

1.  Enicndcr  la  organization.  ex  excncial  para  idcniiftcar  lax  functoncx  y  In 
atliv-idadex  rcali/adax  por  b  organi/acidn  audilada.  axi  como  para  idcnrifk* 
lax  rexponxabilidadex  funcionalcx. 

2.  Enicndcr  lox  produciox  y  lox  proeexox:  ex  prerrcquixiio  para  el  cquipo  dt 
audiioria  conoccr  lox  proeexox  y  kvx  produciox  a  audilar  medume  leclurax « 
informex. 

3.  Enicndcr  lox  objelivox  y  critcriox  de  la  auditorial  ex  importanlc  que  cl  cquipo 
de  auditoria  cste  familiarizado  con  cl  objetivo  de  la  audiioria  y  k»  critenox 
uxadox  cn  ella. 

4.  Preparation  para  cl  mfoimc  de  audiiuria.  ex  Itnpunamc  xOeccionar  el 
mecanixmo  adminixirativo  de  informaciOn  que  xcri  uxado  durante  la  audiioria 
para  ir  confcccionando  cl  infomte  xiguiendo  cl  ducito  dclcrmmado  cn  cl  plan 
de  audiioria 

5.  Dctallc  del  plan  de  audiioria:  xeleccionar  el  mltodo  apropiado  para  cada  paxo 
cn  el  programa  de  audiioria. 

Adicionalmcnic  cl  lider  del  cquipo  de  audiioria  deberi  hacer  lox  prcpuratixoi 
necexariox  para: 
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1 .  Oncntar  a  w  equipo  y  formario  u  o  neccsano 

2.  Preporar  k>  neccsano  para  Us  cntrcvistas  «Jc  la  auditor!* 

3.  Prcpurar  los  matcnalcs.  documentos  y  hcrramtcnO'  ikccutw  sc  gun  los 
proccdimicntas  de  auditoria 

4.  Ideniiftcar  los  ekmcnlos  wifi  ware  a  auditar  (por  cjcmplo.  documentos, 
archivos  informal  icos.  personal  a  cntrcvistar  I 

5.  Plant  ficar  Us  cntresistas. 


6.4.  l  umen.  Lux  elementos  qvc  han  sido  sclecctonados  para  JuJiUr-e  dehetin 
w  valorados  en  relation  con  cl  objetivo  >  cnlenos  de  la  audiioria.  Las  evxlenctas 
kher.ni  scr  exammadas  con  la  profundidad  ncccxaria  para  dclcrminar  si  exo* 
elcmcntos  cumplcn  con  los  entenos  expccificadox. 

La  auditoria  <erl  la  adexruada  para  consrguu. 

1 .  Rcvitar  los  procednnicntos  c  instroccioocx 

2.  Hxaminar  la  csmictura  dc  descum  position  de  los  trabajos. 

5.  F.xaminar  las  cvtdencias  dc  la  implant actOn  y  lo  cquilibrado  del  control. 

4.  Entrcviaar  al  personal  para  aseriguar  cl  cstado  y  cl  funciooamiento  dc  los 
proccsos  y  cl  cstado  dc  los  prod uctos. 

3.  l-.saminar  cada  documcnto 

6.  Comprobar  cada  clcmcnto 

6.5.  Informcs.  A  continuation  del  examen  dc  auditoria.  cl  cquipo  auditor  deberi 
cmtif  un  borrador  del  informc  dc  auditoria  a  la  orgam/aoOci  auditada  para  vu  revision 
jcomenlanos. 

El  cquipo  auditor  podri  rchaccr  cl  informc  dc  audiloria  antes  dc  que  sc  tenja  cl 
■ruiltado  formal  del  informc.  Hstas  adaptacioncs  sc  bar  in  dc  acucrdo  COO  la  revision 
4el  borrador  del  informc  y  rcsolverin  cualquicr  mal  entendido  o  ambigucdad  mientras 
k  suntieivc  la  objclisidad  y  exact  itud  Eslo  tamhifn  sirvc  para  asegurar  la  ficil 
tnliraciOn  del  informc  dindole  consistcncia  en  los  detallcs  c  itKluycndo  cualyuicr 
ax vi  information  venficada.  l-a  prictica  rveomendada  ex  insolucrar  a  los 
■present  antes  dc  la  organi/acsOn  auditada  en  la  revisaOn  de  los  resultados  de  la 
nSlcria 

Involut  rondo  a  la  organi/aciOn  auditada  sc  conlribuyc  a  mejorar  la  calidad  del 
■forme  mediante  la  interaction  y  la  posible  aponaciOn  dc  cualquier  csidcncia 
tiooojl 

El  gnipo  dc  auditoria  organi/ari  una  confcrcncia  posterior  a  la  auditoria  para 
mis*  con  los  tOcnicos  de  la  organizaciOn  auditada  Us  deticicncias.  folios  y  (si  cs 
ybcjfek)  las  rccomendacioncv  Los  comentaoos  y  los  puntos  abordados  per  la 
ngM/aciOn  auditada.  deberin  scr  rcsoeltos 
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El  informc  final  dc  la  audiloria  do  be  *cr  preparado.  aprobtdo  y  distnbuido  per  d 
Ifdcr  del  cquipo  dc  audiloria  a  la*  organi/acionc*  cspecificada*en  cl  plan  do  auditors. 

6.6.  Crllrrio  dr  tcrminacion.  Una  audiloria  debe  scr  constderada  terminali 
cuando: 


1 .  Sc  ha  examinado  cadi  clemcnto  dcr.iro  del  akance  dc  la  audiloria. 

2.  I  aw  resuliado*  ban  *ido  presentado*  a  la  orgamraobri  auditada. 

3.  La  respuesta  al  borrador  dc  lo*  resuliado*  ha  *ido  recibda  y  evaluada. 

4.  El  rcniliado  final  ha  sido  formalmcnrc  presentado  a  la  xgani/acidn  audiiaday 
a  la  cniidad  iniciadora 

5.  FI  informc  final  ha  udo  preparado  y  enviado  a  k>%  rccrpiorc*  devignado*  ce  d 
plan  dc  audiloria. 

6.  El  informe  dc  rccomcndacionc*.  m  el  plan  lo  requtetr.  ha  sido  prepurafe  * 
enviado  a  los  rcccptorcs  dcsignados  on  cl  plan  dc  audiloria. 

7.  Sc  han  reali/ado  todas  las  accione*  dc  scguimicnio  incluidas  cn  el  akancc  dc 
la  audiloria  (o  en  cl  conirato). 


6.7.  Salidav  Como  un  marco  esiaixlar  para  los  informc*.  cl  informc  borrador  dc 
audiloria  y  cl  informc  final  dc  audiloria.  debe  ran  contcncr  como  minimo.  lo  siguieett: 

I  Idmtificacidn  d<  la  audiloria  Tituk>  del  informc.  organiuckin  auditadi. 
organiracidn  auditora  y  fee  ha  dc  la  audiloria. 

2.  AUanct.  Akancc  dc  la  audiloria.  incluycndo  la  enumeration  dc  lot 
csiindarc*.  espccificacioocs.  ptfetka*  y  procedimiertos  que  conMiluycn  ta 
objelivo  y  cl  crilcrio  contra  el  cual  veri  dirigida  la  audiloria  dc  los  clemcnlm 
software  y  dc  lo*  procesos  a  auditar. 

2.  Conclutionts.  Un  resumen  c  interpretation  dc  los  resuliado*  dc  la  audiloria 
incluycndo  lo*  punto*  clave  dc  lo*  aspcclos  no  confomcs. 

4.  Sinopsu.  Un  listado  dc  lodos  lo*  ckmcntos  software  auditados.  lo*  procesos  y 
lo*  dcmcnio*  asociados. 

5.  Sexuimitnio.  El  lipo  y  cl  cronograma  dc  la*  aclividadc*  dc  *cguiraicnio  dc  la 
audiloria. 


Adicionalmentc.  cuando  lo  c*tipulc  cl  plan  dc  audiloria.  la*  rccomcndacionc* 
deberin  enviarse  a  la  organiracidn  audit ada  o  a  la  cniidad  que  inkic  la  audiloria.  Ijn 
rccomcndacionc*  irin  cn  un  informc  separado  dc  lo*  resuliado*. 

6.8  Audilahilidad.  Lo*  maicriak*  que  documcMan  el  price  so  dc  audiloria  deben 
*er  manlcnido*  por  la  organiracidn  auditora  durante  un  period*  cstipulado  despuC*  de 
la  audiloria  c  incluycndo  lo  siguicnic: 
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1.  Todot  los  programs*  de  trabajo.  lisus  de  comprobacidn.  etc.  coo  todos  sus 
comentanos. 

2.  HI  cquipo  de  tecmcov 

3.  Comentanos  dc  Us  cmrcvistas  a*f  como  dc  las  observaciooes 

4.  Evidencias  dc  procba*  dc  confomwdad. 

5.  Coptas  dc  los  clemcntos  cxaminados  con  sms  comentanos 

6  InfonncsborTadorcscoalasrcspucstasdeUorganMacidaauditada. 

7.  Memorandum  del  scguimicnto  si  cs  ncccvano. 


16.8.  AUDITORIA  DE  SISTEMAS  DE  CALIDAD  DE  SOFTWARE 

HI  propdsjto  dc  la  audiiorfa  dc  un  Sistcma  dc  CalkUd.  o  un  programa  dc 
cvaluacidn  dc  la  calidad.  cs  suministrar  una  valoracidn  independiente  sobre  la 
conformidad  dc  un  Plan  dc  Aseguramiento  dc  la  Calidad  del  Software. 

HspcciTicamcntc  cl  objetivo  cs  dc  terminal,  basindosc  cn  csidcncias  observables  y 
vcrificable*.  que: 

1.  La  documentation  del  programa  dc  calidad  del  software  cstablccida  por  la 
orguni/acidn  dc  desamillo  rccogc  como  mimmo  los  clcmentos  basicos  del 
cstandar  ANSI/1F.EH  730  u  otro  cslindar  aproptado. 

2.  La  organizaetdn  dc  dcsarrollo  del  software  siguc  el  programa  dc  calidad  sic 
software  por  ellon  docurncntado. 

id  Plan  dc  Ategunumenlo  dc  U  Calidad  tie)  Software  slcbc  incorporar  lodos  los 
objetivo*  y  los  s' men  os  dc  actuation  organizativos;  cstindarcs  intemos  y 
proccdi  mventov,  proccsos  requeridos  por  U  legislation.  contratos  u  otras  polflicus; 
conformidad  con  el  evtindar  ANSI/IEEE  730  u  otro  coAndai  apropiado  para  cl 
aseguramiento  dc  la  calidad  del  software. 


16.9.  PROCESO  DE  ASEGURAMIENTO  DE  LA  CALIDAD 
DESCRITO  POR  ISO  12207 

Para  rcalizar  cualquier  proccso  dc  audiiorfa.  cs  tmprcscindihlc  cooocer  la 
actividad  qoc  sc  va  auditor,  por  tanio,  no  debe  extraAar  al  lector  que  vayamos 
ntcrcalando  desenpe  tones  dc  los  proccsos  dc  calidad  >  los  dc  dcsarrollo  a  lo  largo  del 
texto.  at  cstc  ease  lo  qoc  al  respccto  describe  la  norma  ISO  1 2207. 

La  norma  ISO/1  EC  12207  "Information  technology  -  Software  life  cycle 
processes-  1995,  no  podriamos  dejar  dc  cilarU  cn  csic  capitulo.  ya  que  cs  una 
importune  norma  para  cl  proccso  dc  dcsarrollo  del  software  y  para  los  proccsos  dc 
calidad. 
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Estructura  de  la  norma  ISO/IEC  12207 


En  la  figum  anterior  vr  mucxtra  la  extructuru  de  dicha  noma  cn  la  quo  vcmos  lot 
Proeexox  Prinvariox  del  Cido  dc  Vida,  lox  dc  Soportc  y  lox  Orgini/ativox  El  numcro 
qoc  ligura  antes  de  cada  proceto  corrcxpondc  al  a  part  ado  dondc  xc  describe  cl  mixo» 
en  la  norma. 

De  clla  vamox  a  dcscribir  dos  dc  lox  proeexox  mis  relaciomdox  con  nuextro  tenue 
oomo  son  cl  Proccxo  de  Axeguramiemo  de  la  Calidad  y  el  Pnxexo  dc  Auditoria.  que 
conxtderamox  que  conmbuycn  a  coinpletar  una  pcrxpcctiva  mis  amplia  del  tema  que 
noxocupa. 

El  apart  ado  6.3  rclativo  a  k*  Proeexox  dc  Axeguramiemo  de  la  Calidad  dice: 

l -os  Proccsox  dc  Axeguramiemo  de  la  Calidad  xirven  para  xuminixtrar  la 
xeguridad  dc  que  durante  el  cklo  de  vida  del  proyecto  lot.  prodoctox  y  lox  proeexox 
cMin  dc  acucrdo  con  lox  requenmiemox  expecificadox  y  sc  idhtcrcn  a  I  os  planes 
cxtablecidox.  Al  xer  imparcial.  cl  axeguramiento  dc  la  calidad  necexita  tencr  libcrtad 
organiunva  y  autoridad  dc  lax  penonax  dircctamcntc  rcxponxaMcx  del  dcsanollo  de 
lox  product  ox  software  o  lox  que  real  i /an  lox  proeexox  cn  cl  proyecto.  id 
axeguramiemo  de  la  calidad  puedc  xer  intemo  o  exteroo.  ccpcndicndo  dc  m  la 
cvidcncin  dc  la  calidad  de  lox  productox  o  lox  proeexox  xc  va  a  demoxtrar  a  la  dirccciOn 
del  xuminixtradoe  o  al  clicnte.  El  axeguramiemo  dc  la  calidad  (uedc  haccr  uxo  de  lox 
rcxultadox  dc  otrox  proeexox  de  Soportc.  tales  como  Vcnficacidn.  Validation. 
Revixionex  Conjuntax,  Auditorfax  y  Rcsolucidn  dc  Problcmac 

Extc  proeexo  dc  aseguramiento  dc  la  calidad  xe  componc  dc  lax  cuatro  actividadcs 
que  dexenbimox  a  continuation: 
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16.9.1.  Implementacion  del  proceso 

EsU  actividad  tkne  las  siguientes  I  area': 

•  El  proceso  dc  ascguramiento  de  la  calidad  dehc  caablecerse  adapiado  al 
proyecto.  Los  obyctisos  dc  este  proceso  dc  ascguramiento  dc  la  calidad  serin 
asegurar  que  kw  productos  software  jr  los  proccsos  utilizados  para  cottseguir 
estos  produclos  software  cumpkn  con  los  requenmknios  establectdos  y  se 
adaptan  a  los  planes  previstos. 

•  Los  proccsos  dc  ascguramiento  dc  la  calidad  deben  ser  coord  mados  coo  los 
proccMM  indkados  dc  Verificacidn.  Validation.  Revisi6n  Conjunta  y 
Auditoria. 

•  El  plun  para  dirigir  los  procesos.  actividades  y  (areas  de  ascguramiento  dc  la 
calidad  debe  ser  desarrollado.  documentado.  impkmentado  y  manienido 
durante  el  Itcmpo  de  duracidn  del  conirato.  Estc  plan  deberi  incluir  lo 
siguienie: 


a)  Estindares  dc  calidad.  metodologfas,  procedimientos.  y  herramkntas  para 
reali/ar  las  actividades  de  ascguramiento  de  la  calidad  (o  sus  rcferencias  a 
la  documcnlacidn  ofictal  dc  la  organtzacidn). 

b)  Procedimientos  para  la  revisidn  y  coordination  del  contrato. 

c>  Procedimientos  para  identificar.  recoger.  cumplimcmar.  niantener  y 
accedcr  a  los  registros  de  calidad. 

d)  Rccursos.  planes,  y  rcsponsabilidadcs  para  dirigir  las  actividades  de 
ascguramiento  dc  calidad. 

e>  Dctcnmnadas  actividades  y  (areas  de  los  proccsos  dc  soporte.  laks  coma 
Verificacidn.  Validacidn.  Revisioocs  Conjuntas.  Aoditorias  y  Resolution 
de  Problcmas. 

Las  actividades  y  (areas  planificadas  dc  ascguramiento  dc  la  calidad  deben 
rcali/arsc.  Cuando  son  detectados  problcmas  o  no  conformidades  con  los 
rcqucnmieni<x>  cooiracluslct,  deben  «er  doeumentadoi  y  xrvir  dc  ciurud*  »l 
Proceso  dc  Resol  ucidn  de  Problcmas.  Deben  prepararse  y  mantenerse  los 
registros  de  cstas  actividades  y  ureas,  su  reali/acidn.  los  problcmas  y  su 
resolucidn. 

Los  registros  de  las  aclividadcs  y  lareas  de  ascguramknto  dc  la  calidad  deben 
esur  disponibles  al  clicntc  asf  como  especificados  cn  cl  contrato. 

Debera  cerciorarse  dc  que  las  personas  rcsponsablcs  de  asegurar  la 
concordancia  con  los  requerimkmos  del  contrato  ticncn  la  libenad 
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organ  isativa,  los  rccursos  >  U  autondad  para  permit  ir  evaluac  tones  objetivatt 
iniciar.  cfcctuur.  revolver  y  verifkar  la  resoluctdn  de  problcmas. 


16.9.2.  Aseguramiento  del  producto 

Esu  aclividad  licne  las  siguientc*  (areas: 

•  Dcbcri  asegurar  que  aquellos  planes  requendos  por  el  contrato  esti* 
documcntudos.  cuntplen  con  el  contrato.  son  mutuameote  consislcntcs.  y  cilia 
uendo  cjccutados  como  sc  requierc 

•  Deberi  asegurar  que  aquellos  productos  software  y  mi  documentacido 
cumplcn  con  cl  contrato  y  estin  de  acucrdo  con  los  planes 

•  En  la  preparacidn  para  cl  suministro  de  los  productos  software,  deberi 
asegurarse  de  que  satisfacen  complcuincntc  los  requeritnientos  contrac  utiles 
y  son  aceptables  para  el  clientc 


16.9.3.  Aseguramiento  del  proceso 

fc.su  actividad  tiene  las  siguientes  ureas: 

•  Dcbcri  asegurar  los  procesos  del  ctclo  de  vida  del  software  (suministro. 
desarrollo.  operacidn.  mantemmientos  y  soportc.  incluycndo  el  aseguranuetto 
de  la  calidad)  cmplcados  para  que  cl  proyccto  cstd  de  acucrdo  con  cl  contrato 
y  tc  ajuste  a  los  planes. 

•  Deberi  asegurar  que  las  pricticas  intemas  de  ingemcria  de  software,  entorno 
de  desarrollo  y  librcrfas  estin  de  acucrdo  con  el  contrato 

•  Deberi  asegurar  que  los  requerinuentos  aplicablcs  del  contrato  principal  sen 
pasados  al  subcootratisu.  y  que  los  productos  software  del  subcontratista 
satisfacen  los  requerimientos  del  contrato  principal. 

•  Deberi  asegurar  que  al  cliente  y  a  las  otras  partes  se  les  aporu  el  soportc  y  la 
cooperacidn  requendos  de  acucrdo  eon  cl  contrato,  las  ncgociacioncs  y  los 
planes. 

•  Deberi  asegurar  que  los  productos  software  y  los  procesos  medidos  estin  de 
acucrdo  con  los  estindares  y  procedimientos  establcc  idov 
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Dcbcri  ascgurar  que  cl  personal  ttfemco  asignado  ticne  el  perfil  y  los 
cooocirmcntos  ncccsarros  para  conscguir  cumplir  los  requerimientos  del 
proyecto  y  que  recibe  la  formacidn  que  pudicra  ncccsitar. 


16.9.4.  Aseguramlento  de  la  calidad  de  los  sistemas 

h'U  actividad  ticne  la  Mguienic  (area: 

•  U  actividades  adicionale*  de  gesti6n  de  calidad  dcbcrdn  ascgurar  *u 
concordance  con  la  cliusub  de  ISO  9001  scgtin  cspecifiquc  cl  contrato. 


16.10.  PROCESO  DE  AUDITORIA  OESCRITO  POR  ISO  12207 

El  proceso  dc  auditorfa  sieve  para  detcmunar  la  adhercncia  con  los  reque- 
rssucnios.  los  planes  y  cl  contrato  cuando  es  apropiado.  Este  proceso  puede  scr 
oaplcado  por  cualquicra  de  las  do*  parte*,  dondc  una  dc  ellas  (parte  audilora)  audita 
los  productos  software  o  las  actividade*  de  la  otra  parte  (parte  audilada). 

Euc  proceso  %e  compooe  de  dos  actividadev 


16.10.1.  Implementacidn  del  proceso 

Esta  actividad  tienc  las  siguientes  ureas 

•  las  auditorfas  deben  rcali/arve  en  detemtinados  hitos.  segvln  lo  cspccificado 
cn  los  planes  del  proyccto. 

•  El  personal  auditor  no  debe  tener  ninguna  responsabilidad  dirccta  en  los 
productos  software  ni  cn  las  actividades  que  audilan. 

•  Todos  los  rccursos  requeridos  para  llevar  b  auditorfa  deben  scr  pact  ados  por 
bs  parte*.  £sto*  incluyen  personal  de  sopoctc.  locales,  hardware,  software, 
hcrramienus  y  clcmcntos  complemcntarios 

•  Las  panes  deberin  ponerse  de  acuerdo  cn  cada  auditorfa  sobre:  agenda: 
productos  software  (y  rcsultado*  de  las  actividades)  a  revtsar;  alcancc  de  la 
auditorfa  y  proccdmucr.ios.  y  enterios  de  comienzo  y  de  terminacidn  dc  la 
auditorfa. 

•  Los  problemas  detectados  durante  la  auditorfa  deben  ser  registrados  y  tratados 
en  cl  Proceso  de  Resducidn  de  Problemas. 
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•  Dt'puti.  de  completar  la  auditor!*.  los  resultados  dc  t\u  debon  set 
docsimentados  >  entrcgadm  a  la  pane  auditada.  quicn  deberi  acusar  rccibo  a  la 
pane  auditor!  de  cualquier  problem!  detcctado  en  la  auditoria  y  to  la 
resolucidn  dc  problemas  pUntficaiU 

•  Las  panes  deberfn  pooerse  de  acuerdo  sobte  kn  multtdos  de  la  auditoria  y 
sober  eualquicr  punto  de  aevidn.  responsabi  I  idadcs  y  enterios  de  eierre 


I 

16.10.2.  Auditoria 

lisia  actividad  uenc  la  sigutente  urea 

la  auditoria  deberi  sc*  dingida  para  asegurar  que 

a)  Los  product cn  software  codificados  (tal  como  un  elemerto  software)  refkjaria 
k)  dncilado  en  la  documentacidn. 

b)  tan  rcquerimientos  dc  la  revision  de  accptacidn  y  dc  praebas  pcescnlos  pur  b 
documentacidn  son  adccuados  para  la  accptacidn  de  los  productos  software 

c)  Los  datos  de  pnieba  cumpten  con  la  cspccificacidn. 

dl  Los  productos  software  fucrun  sucesivamente  pruhadus  y  alcanraron  un 

especifkadom. 

c)  Los  informes  de  praebas  son  comvtos  y  Us  divcrcpunc  as  entre  los  rcsuhadoi 
come guidos  y  lo  esperado  ban  sxk>  resuebas. 

f)  la  documentacidn  del  usuano  cum  pic  con  los  cstinJarcs  ul  como  se  hi 
cspccifkado. 

gl  Las  actividadcs  hon  sido  llevadas  de  acuerdo  con  los  rcquerinuenhM 
aplicablcs.  los  planes  y  el  contralo. 

h)  FJ  esnte  y  cl  cronogranu  se  ajustan  a  los  planes  cstabfabdos. 


16.11.  CONCLUSIONES 

ikmos  pcetendido  haccr  una  sembianra  de  los  ispcctos  que  consider amos  mis 
■mportantes  para  haccr  una  Auditoria  de  Calidad.  tratando  de  wportarios  en  disvrsos 
estindares  y  normal  que  en  U  mayoria  de  los  casus  hemos  imertado  t/aduckrxMoi 
directamente  de  Us  mismas  para  no  adwltcrarkn  con  una  posisle  subjctividad.  Con 
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«<>  cocisideramas  quc  nos  pucdc  pcmutir  tcncr  una  visidn  mas  amplia  a  UavAs  dc  lots 
dittinfos  cnfoqucs  quc  dan  ilnhas  nonius  sobre  las  Auditorial  dc  Calidad. 

Aunquc  sotnos  conscicntcs  dc  quc  cl  ubordar  uru  auditoria  sAJo  con  cstc  bugaje 
no  cv  suficicntc.  Un  boon  auditor  cn  Tccnologfan  dc  la  Informal- iAo  ncccsita  tcncr  una 
amplia  expcricncia  cn  las  distinus  funcionc*  dc  dicta  actividad.  cstar  muy  at  d(a  cn  las 
distinus  mctodotogfas.  proccsos  y  hcrramicnias  quc  sc  cmplcan.  dc  forma  quc  k  sea 
ficil  dcicctar  los  dcfcctos  cn  los  planes,  cn  los  product  os  y  cn  los  proccsos,  as(  Como 
esur  capacitado  para  podcr  proponcr  recomendaooncs. 

Rcconoeemo*  quc  no  e%  una  tarca  ficil.  pero  prccisamcntc  por  dlo  cs  altamcntc 
graiificantc  cl  akaiuar  un  Anno  quc  satisfaga  lot  inccrescs.  cn  inuchas  ocasioncs 
coetrapocstos.  dc  las  partes  insotucradas.  consiguicndo  dc  la  entidad  auditada  cl 
rceonocimicnto  dc  la  profcsionalidad  del  auditor  at  conscguir  dcicctar  los  problcmas 
tustentes  y  proponcr  sotus'ioncs.  >  dc  la  pone  quc  promoviA  la  auditorfa  cl  conscguir 
quc  sc  poeda  conocci  cn  dAndc  rcsidian  los  problcmas  quc  no  permitian  akan/ar  los 
objetivos  dcscabks. 

Pero  debemos  rccordar  quc  esu  actividad  no  es  un  arte,  si  no  una  tdcnica.  y  como 
tal  debe  seguirsc  un  orden  y  un  metodo  cn  cl  quc  nada  sc  da  por  supucsto  si  no  existc 
una  cvidcncia  objetiva  quc  lo  acrcdita.  Kn  esc  conjunto  dc  cs  idcncias  sc  apoyaran 
nucstras  conclusions,  y  dc  nucstra  cspcricncia  y  know  henc  valdran  las 
Kcomcmiacioncs  a  proponcr. 


16.12.  LECTURAS  RECOMENDADAS 

Cohen.  I..  Inspection  Moderators  Handbook.  Maynard,  M.  A:  Digital  Equipment 
Corporation.  1991. 

Freedman  D.  P.  y  Weinberg  G.  M.  Handlsook  of  Walkthroughs.  Inspections,  and 
Technical  Reviews,  1990. 

ttJE  1028  "Standard  for  Software  Reviews  and  Audits". 


16.13.  CUESTIONES  DE  REPASO 


Klahorc  su  propia  definiciAn  dc  “calidad". 

iQt si  caractcrisiicas  dc  la  calidad  define  la  norma  ISO  9126? 
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3.  Objetivot  dc  Im  mditaiw  de  U  calidad 

4.  kQuc  prcrrcxjuisiios  «c  cxijccn  a  lot  idcnico*  de  dctarrollo  cn  un  promo  dr 
revtudn? 

5.  Rctuma  lax  principals  lam  del  proccto  dc  auditorfa  -oft  stare 

6.  iC6m o  sc  inclu)  cn  lot  procctot  dc  auditorfa  cn  la  norma  ISO/I I'C  1 2207? 

7.  Difcrcnciax  cntrc  axcguramicnio  del  producto  y  ascgusamicnio  del  proccso 

8.  hlcmcniot  a  incluir  cn  un  plan  para  cl  axcguramicnio  dc  la  calidad. 

9.  iQoi  conocimicncos  sc  rcquicrrn  para  podcr  llcvar  a  cabo  con  Cxilo  una 
audilorla  de  la  calidad? 

10.  j.Cdmo  cxplicana  a  un  director  dc  informiuca  las  senrayas  dc  llcvar  a  cabo 
una  auditorfa  dc  la  calidad? 
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AUDITORIA  DE  LA  SEGUR1DAD 

Miguel  Angel  Ramos  Oonzdlez 

17.1.  INTRODUCClbN 

Para  mocho*  la  segundod  siguc  stcndo  cl  Area  principal  a  auditor.  basts  cl  punto 
de  que  cn  algunas  cntidadcs  sc  cred  inicialmcntc  la  funcidn  <Jc  audiloria  informdiica 
pira  revisar  la  seguridod.  uunque  dexpobs  sc  hayan  ido  ainpliando  los  obyetivos 

Ya  sabemos  que  puede  haber  seguridad  sin  audiloria.  puede  cxistir  audiloria  dc 
«rat  Sreav  y  queda  un  cspacio  dc  cncueixro:  la  audiloria  dc  la  seguridad  (figura  17.1). 
j  cuya  Area  puwle  scr  mayor  o  mcnor  xegtin  la  cnltdad  y  cl  momenta 


Figaro  17.1.  Eneuentro  enlre  seguridad  y  audiloria 

U)  cicrio  ex  que  cada  dia  cs  mayor  la  importancia  dc  la  informarion,  especial- 
tncaic  relacionada  con  sisicmas  hasados  cn  cl  uso  dc  tccnologfu  dc  la  informacidn  y 
cotnorKJs  tones,  por  lo  que  cl  impoclo  dc  Itw  fallen.  Iixs  acccsos  no  autonrados.  la 
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revelation  dc  la  information.  y  otrax  incidences.  ticncn  un  impocto  mucho  mayor  qx 
hace  uik>\  altos:  de  ahi  la  ncccxidad  dc  protcccionc*  adecuadas  quc  xc  cvaluarin  o 
rtvomcndaran  en  la  audiloria  dc  xcgundad. 

(Tambidi  cx  cierto  quc  on  inucbox  casox  lan  ncccxario  o  mix  quc  la  protection  de 
la  informacidn  pucdc  xer  quc  lax  invcrxiooex  en  xixtcmas  y  iccnologiax  dc  U 
informacidn  cxten  alincadax  con  lax  cxlraiegiax  dc  la  cMidad.  huycndo  del  cnfoqoe  de 
la  teendogia  por  la  tecnologia.) 

Ijix  ireax  quc  poede  abarcar  la  Auditor)*  Informitica  lax  rccogia  cl  autor  dc  e«e 
capftulo  cn  ui  texix  doctoral  cn  1990.  y  cn  Ifncax  generates  vicncn  a  coincidir  coo  In 
expuesux  cn  exta  obra. 

En  realidad.  debemat  ir  lublaivdo  mis  dc  Audiloria  cn  Sivtcmax  d* 
Information  quc  sdlo  dc  Audiloria  Informitica.  y  no  xc  trala  dc  un  jut  go  dc  palahru 
xino  dc  una  actualization  acordc  con  cl  nuevo  enfaque  y  lax  Ireax  quc  llcga  a  cubrir.  y 
Icjox  ya  de  la  denomination  cn  mgtex  que  seguimos  viendo  cn  muchox  librox  v 
articulox  actuates  -algunos  citados  cn  la  bibliograffa  EDP  Audit,  audituria  cn  proceso 
dcctrOnico  dc  datox  |  Electronic  Data  Processing). 

La  nueva  denomination  abarca  glubalmentc  lox  sixtemas  dc  information:  desde  U 
plamlicaciOn.  d  alincamicnto  con  lax  extrategiax  dc  lax  entidadex.  haxu  lox  solemn  dc 
information  y  d  aprovechamicnto  dc  lax  tccnoiogfas  dc  la  information  aporun 
ventajax  compctilixax  a  la  cntidad.  la  gextiOn  dc  lox  rccurxox.  c  incluxo  la  mcxlida  de  b 
rcntubilidad  dc  todo  dlo.  quc  ex  qtn/i  cl  dnico  ponto  quc  pcrxonalmcntc  trao 
cuando  xc  nox  xugicrc  a  la  Nora  de  cstablcccr  objetivox  dc  la  auditorfa. 

Algunax  entidadex  ticncn  dctalludm  xux  costcx  cn  la  contabilidad  analilica.  pero 
icdmo  cuantilicar  cn  algunax  xcmanas  lax  ventajax  y  lox  bcndiciox  algunot 
intangibles  y  diffcilmcntc  cuamiftcablcx-  xi  la  prupia  cntidad  no  ha  podido  haccrto  cn 
toda  xu  cxistcncia? 

Como  xc  indica  cn  la  figura  17.2.  adaptuda  dc  la  obra  dc  Emilio  del  Peso  y  cl 
propto  Miguel  A.  Ramos  CtntfideiuUilidad  y  Seguridad  de  la  Infirrmaeida:  la 
I.OKTAI >  y  mi  aplkacianes  socioeconAmkas ,  la  audiloria  xicne  a  xer  d  control  del 
control.  ( Rccordemos  quc  LORTAD  signified  Ley  Orginiesi  dc  Regulation  del 
Tratamicnto  Auiomatirado  dc  Datox  dc  cardctcr  personal.) 

Volvicndo  a  la  segurtdad.  aunque  xolcmox  ofr  vahax  evprcMones  como  xcguridad 
informiitica.  xcguridad  dc  lox  xiucmax  y  iccnologiax  dc  la  informacidn.  xcguridad  -o 
protection-  dc  la  information,  puextox  a  clcgir.  y  xin  liegar  a  dewartur  ninguna.  noi 
quedarfamox  con  la  Ultima,  ya  quc  lox  datox  y  la  information  son  lox  art i vox  mis 
cxtratdgicox  y  valioxox  rctaCKmados  con  los  xixtemax  y  d  uxo  de  lax  iccnologiax  de  U 
information. 
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Ft  gum  17.2.  Audi  tona  como  control  del  control 

La  exprexidn  xegundad  informatica.  que  ex  la  mix  uxada.  puede  llcgar  a 
rJkmmutxc.  xdlo  con  I  ox  rquipox  y  lo*  entomo*  tdcnkxx*.  como  xi  la  informaodn  cn 
com  vopocte*  y  ambientr*  no  rcquiricra  proteccidn.  cuando  xoa  lax  propiax 
optncioncx  dc  la  entidad.  cl  ncgock*  cn  entidadc*  con  inimo  dc  lucre*,  b  quo  requtcrc 
fwieccMa. 


Si  no  cxixten  xuficicntcx  y  adccuadax  medidax  dc  proteccidn  xc  puede  perder  in 
fcrmacidn  vital,  o  al  mcnox  no  extar  divpomble  cn  cl  momento  requendc  (penxemox  cn 
Aagndxticox  dc  pacicntcx  muy  grave*  o  cn  control  dc  vuclox).  lax  devtvione*  tomada 
poeden  xcr  errdneax.  o  xc  pueden  incumplir  contralox  c  incluxo  la  propia  Icgixlacidn.  lo 
tftc  puede  traducirxc  cn  grande*  muliax  cn  cl  case  dc  infraceione*  grave*,  o  lo  que  ex 
tin  pcor  la  inmoviliractdn  dc  lox  archive**  previxta  cn  la  LORTAD. 

Debe  evatuarxe  cn  la  auditoria  xi  lox  modclox  dr  xrguridad  extin  tn  conxonancia 
era  lax  nuevax  arquilcclurax.  lax  dixtintax  plauforma*  y  lax  poxibttdadcx  dc  lax 
CMMnicaoonc*.  porque  no  xc  puede  auditor  con  conccptox,  tccmcax  o  recomcn- 
daciooe*  dc  bate  algunox  ado*  (que  cn  realidad  no  xon  tantox). 

Kn  cuanto  a  la  JuxtMcacidn  dc  la  auditoria.  que  no  parccc  ncccxaia  cn  una  ohrj 
dc  exte  tipo.  xdk>  deeir  que  tanto  la  normaliva  como  la  auditoria  xon  xcccxanax:  una 
nduoria  no  havada  cn  politic  ax  dc  la  entidad  audilada  (ademix  dc  bx  norma*  para 
teahur  la  auditoria)  xcria  xubjetiva  y  haxta  pcltgroxa  (aunque  ci  xixtemax  dc 
aformacidn  ex  una  xiluacidn  habitual,  que  no  normal),  y  la  cxixtcncia  dr  normaliva  xtn 
aaditoria  podrfa  cquivalcr  a  la  no-ex ixtcncia  dc  la  Guardia  Civil  dc  Trifico.  lo  que 
nctrmentaria  lox  accidcntcx  c  iria  convinicndo  la  circulacida  cn  cadtica  y  peligroxa 
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La  realidad  ex  qsie  no  %e  conoccn  dalos  completes  y  fiablcs  sobre  el  nutl  * 
proteccidn  de  las  cnodades  en  Esparta  rrspccto  a  uticmas  dc  information  y  sendna 
Non  alguna*  cstadlslkas 

En  defiiutiva.  como  dec  fa  un  clientc:  “No  pasan  mis  cosas  porque  [)k»  a 
bueno".  y  podemos  aAadir.  que  no  conoccmos  la  mayor  pane  dc  las  que  pasan.  pxipt 
ya  sc  ocupan  las  entidadcs  afecladax  de  que  no  sc  difundan. 

Volsicodo  .il  control,  los  grandcs  gnipos  de  controles  son  los  siguientes.  admit 
de  podcrlos  dividir  en  manuaks  y  automiticos.  o  en  generates  y  de  aplicaciOn: 

•  Controles  dlrrctivos,  que  son  los  que  esuMcccn  las  bases,  como  las  politic*, 
o  la  creacidn  de  comiiCs  rclacionados  o  de  fuociones:  de  admmistraciOo  it 
seguridad  o  auditorfa  de  sistemas  de  information  intema. 

•  Controles  presentlvas,  antes  del  hecho.  como  la  identificaciOn  de  tuia 
(seguridad  ffstca)  o  las  contraseAa*  (seguridad  lOgica). 

•  Controles  de  dctcccldfi,  como  determmadas  revisiones  dc  acccsos  produeda 
o  b  detection  de  tncendios. 

•  Controles  correct  hos,  para  rcctificar  emteev  ncgligcncixs  o  acoon 
■ntencionadas.  como  U  recuperation  de  un  archiso  dahado  a  partir  de  a 
copta. 

•  Controles  de  recuperackSn,  que  facilitan  la  vuelta  a  la  normalidad  despots  dr 
actidentes  o  contingencias.  como  puedc  ser  un  plan  de  continuidad  adctnadx 

Podemos  hablar  de  Objetivos  dc  Control  respect o  a  la  seguridad.  que  vienea  i 
see  declaracioncs  sobre  el  resultado  final  deseado  o  propOsito  a  ser  alcan/ado  medutt 
las  protecciones  y  los  procedimientos  de  control,  objetivos  como  los  recogidos  ca  b 
public  acidn  COBIT  ( Control  Objectives  for  Information  and  Related  Technologies  Id 
ISACA I  Information  Systems  Audit  and  Control  Association/Foundation  t 

Cada  cntidad  ha  sle  deflnu  sus  prop) os  objetivos  de  control,  en  cuanto  a  segunM 
y  otras  Areas,  y  crear  y  mantencr  un  Sistema  dc  Control  Intcrno  (funciones.  prxcttx 
actividadcs.  dtsposilisos...)  que  pucslan  gamntirar  que  sc  cumplen  los  objetivos  it 
control. 

Los  .iudi tores  somos.  cn  cicrto  mode,  los  "ojos  y  oidox"  de  la  DircccMa.  qae  i 
menudo  no  puedc.  o  no  debc.  o  no  sabe.  cOrno  realtzar  las  senficacicoes  « 
evaluaoones.  (En  cuanto  a  los  ojos  sigue  exist  icndo  cn  algunos  sect  ores  U  fipsn 
ells  tea  del  sccdor.l 
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En  los  mformcs  sc  rccomendari  la  impUntactdn  o  refoer/o  dc  rontrolcs.  )  cn 
ocjsioocv  incluso  quc  sc  considerc  la  suprcsidn  dc  algiin  control,  si  rcsslta  RdundaMC 
o  y*  no  cs  necesario. 

hi  sistcnia  dc  control  inlemo  ha  dc  basarse  cn  las  politics*,  y  K  implants  con 
ipoyo  dc  herramicntas.  si  bicn  cncontramos  a  mcnudo  cn  las  auditona*  quc  U»  quc 
ante  cs  mis  bicn  la  implantacidn  parcul  dc  controlc*  dc  acceso  log  co  a  trav^s  dc 
pqueic*  o  sistcmas  basada  cn  el  crilcho  dc  los  tdcnicos.  pcro  no  sustcntada  cn 
KtonMiva.  o  bicn  habicndo  piartido  c*u  dc  los  propios  idcnicos,  sin  aprohacioncs  dc 
«ro  nisei. 

la  realidad  cs  quc  cl  control  intemo  no  esti  general! /ado  cn  iispaAa  fucra  dc  los 
poeem  qoe  implican  gastos.  y  cspccialmcntc  pagos.  pcro  cxistcn  otros  riesgos  tan 
inportantcs  o  mis  quc  las  pfalidai  monctanas  direct  as.  rclacionado*  con  la  gestiOn 
•detuada  dc  los  rccursos  informilicos  o  con  la  propia  protection  dc  h  information, 
quc  podrian  suponcr  rcsponsabilidadcs  y  pCrdidas  muy  import jntes  pan  la  cnlidad. 

Cuando  cxistc  un  ustema  dc  control  intemo  adecuado.  los  procesos  dc  auditoria. 
npecialincsitc  si  son  pcnddicos.  son  rcsisiones  ncccsarias  pcro  mis  ripidas.  con 
uformes  mis  breves;  si  cl  sistema  dc  control  mtemo  cs  dibit.  la  auditcria  lies ari  mis 
tempo  y  csfucr/o.  su  costc  scri  mayor,  y  las  garantias  dc  quc  sc  pongan  cn  marcha  las 
rtcotncndacioncs  son  mucho  mcnorrs;  cn  ocasioncs  la  situacidn  disu  unto  dc  la  ideal 
como  la  del  pacicntc  quc  sc  somctc  a  un  chcquco  despuds  dc  varios  aAot  sin  control. 

iMnalmcntc.  queremos  indicar  quc  por  la  Idgica  limitacidn  dc  cspccio  no  ha  sido 
fouble  ddallar  mis  los  puntos,  ni  inciuir  listas.  quc  cn  todo  caso  sin  esiar  refendas  a 
nagtin  entomo  y  sector  concrete  y.  por  tamo,  sin  tener  pesos,  poeden  dar  rcutltadm 
dudosos  si  quien  las  usa  no  sabc  adaplarlas  c  interpretar  sus  rcsullados. 


17.2.  AREAS  QUE  PUEDE  CUBRIR  LA  AUDITORfA  OE  LA 
SEGURIOAD 

Sc  incluycn  las  quc  con  carictcr  general  poeden  forrnar  pane  dc  !•»  objetivos  dc 
ma  revision  dc  la  scgsirsdad.  si  bicn  Ista  puede  abarcar  sdlo  parte  dc  elas  si  asf  sc  ha 
dctrrmiisado  dc  antemano. 

Kn  una  auditoria  dc  otros  aspect  os  -y.  por  tanto.  cn  otros  capftulos  dc  cua  misma 
otn-  pueden  tambrdn  surgir  rcvisioncs  solapadas  con  la  seguridad:  ad.  a  la  Horn  dc 
irvtsar  los  dcsarrolkn.  nomialmcntc  sc  scri  si  sc  reali/an  cn  un  entomo  seguro  v 
protegido.  y  k*  mismo  a  la  bora  dc  rcvitar  la  cxplotacidn.  o  el  irca  dc  t&nica  dc 
nuemin.  las  redes,  la  informilica  dc  usuano  final,  las  bases  dc  datos.  y  cn  general 
ctuiquier  irca.  salvo  quc  expresamente  sc  quicra  pasar  por  alto  b  seguridad  y 
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conccntrarxc  cn  otros  aspecto*  eomo  pucdcn  ser  la  gcuido,  costes.  nivd  de  sentcm, 
cumplimicnto  dc  proccdinucntos  generates,  caltdad.  o  cualquicr  otro. 

Volvicndo  a  las  ireas.  las  que  sc  citan  pucdcn  ser  objeto  de  la  auditorfa  de 
segundad.  si  bicn  cn  cada  caso  sc  habrin  fijado  to*  objetivos  que  mis  intcresca.  no 
considcrando  o  por  k»  menos  no  con  el  mtimo  dnfasis  otros.  si  bien  debtendo  qard» 
claro  y  por  escrito  cuiles  son  csos  objelivos.  unto  cuando  sc  irate  de  una  audrtorfi 
mierna  como  externa,  cn  cuyo  caso  puede  media/  un  conlrato  o  al  menos  uu 
propucsta  y  carta  dc  aceptacidn. 

I -is  areas  generates  citadas.  algunas  de  las  etiaks  se  amplian  despods.  son: 

•  Lo  que  hemos  denominado  controle*  directivos.  cs  dccir.  los  fundamenios  de 
la  seguridad:  polflicas.  planes,  funcioncs.  cxistcncia  y  functonamiento  dr 
algiln  enmitd  retacionado.  objelivos  de  control,  presupuesto.  asf  como  qae 
existen  sistemas  y  mdtodos  dc  cvaluacidn  periddka  de  riesgos, 

•  HI  desanollo  dc  las  polflicas:  procedimicMov.  posiblcs  cstindarev  norma*  j 
gufas.  sin  ser  suftcicntc  que  exist  an  exUs  ultimas. 

•  Que  para  los  grupos  antcriores  sc  ha  considcrado  el  marco  juridico  aplxable. 
aspecto  tratado  en  otros  capitulos  de  esta  obra.  asf  como  las  regulaciones  o  lor 
requerimientos  aplicablcs  a  cada  entidad:  del  Banco  dc  Espata  cn  cl  caso  de 
las  cntkladcx  financieras,  del  sector  del  seguro.  los  de  la  Comunidid 
Autdnoma  correspondiente.  tal  ve/  de  su  Ayuntamicnto.  o  de  la  casa  ttutru 
las  multinacionalcs  o  que  forrnen  parte  dc  un  gnipo.  Otro  aspecto  es  d 
cumplimientn  de  los  contratos. 

•  A  me  (was  ffsieas  exlemax:  inundacioncs.  inccndios.  explosiones.  cone  de 
Ifneas  o  de  suministrox,  terremotos.  terrorismo.  buelgas... 

•  Control  de  accesos  adccuado.  tamo  flucos  como  los  deoommados  lOgicor. 
para  que  cada  usuano  pueda  occcdcr  a  los  rccurso*  a  que  c*t<  autori/ado  y 
reali/ar  sdlo  las  funcioncs  permitidas:  lectura.  variacido.  cjccucidn.  bonaii, 
copia...  y  quedando  las  pisus  ncccsartas  para  control  >  nuditoria,  tamo  de 
accesos  producidos  al  menos  a  los  rccurvos  mis  crfticos  como  los  inicittos  ea 
determ inados  casos. 

•  Protection  de  datos:  lo  que  fijc  la  LOPO  en  cuanto  a  los  dMos  dc  caricter 
personal  hajo  tratamiento  automatt/ado.  y  otros  controles  en  cuanto  a  los  datot 
cn  general,  segtin  la  clasificacidn  que  cxista.  la  dcsignacidn  dc  propietanoi  j 
los  riesgos  a  que  cstdn  sometidos. 
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•  Comunicacionev  y  redes:  topologfa  y  tipo  de  comunicacionev.  povibtc  uvo  de 
cifrado.  proteceioocv  ante  virus,  6>uv  lambidn  cn  vivtemav  aivlalov  aunque  el 
impacto  serf  me  nor  que  cn  una  red. 

•  El  entomo  de  Produce  i<Vi,  entendiendo  como  lal  E.xplotacidn  mis  Tdcnica  de 
Sivtcmus.  y  con  especial  <nfaviv  cn  cl  cumpiimiento  de  conlratov  en  lo  que  ve 
rcficra  a  protcccioocs.  unto  rcvpccto  a  tcrccrov  cuundo  «e  traU  cc  una  entidad 
que  previa  verviciov.  como  el  vervicio  recibido  de  olrov,  y  de  foma  especial  cn 
cl  caso  de  la  vubcontratacidn  toial  o  outsourcing. 

•  El  dcsarrollo  de  aplicacionc*  cn  un  entomo  veguro.  y  que  ic  incorporen 
commies  cn  lov  product ot  dcsarmlladcK  y  que  dstos  revultcn  auditable*. 

•  La  cominuidad  de  las  opcracionev 

No  sc  trata  dc  Areas  no  rclacionadav.  vino  que  casi  lodav  llenen  purtov  de  enlace 
j  paries  comunrv:  comunicacionev  con  control  dc  acccvov,  cifrado  oxi  comunica¬ 
cionev  y  voportev.  dates  con  wportes  y  con  comunicacionev.  explotacidn  con  v arias  de 
tUav,  y  as(  cn  otros  cavov. 


17.3.  EVALUAClON  OE  BIESGOS 

Se  trata  de  idenlificar  lov  rievgov.  cuantificar  vu  probabilidad  r  impacto,  v 
miiirar  medxlav  que  lov  eliminen  -lo  que  gcneralmer.tc  no  es  poviblc-  o  que 
daminuyan  la  probabilidad  dc  que  ocurran  lov  hechos  o  miliguen  el  impacto. 

Para  evaluar  rievgov  hay  que  considerar.  entre  otrov  fact  ores  el  tipo  de 
informal' idn  almacenada.  proccsada  >  tranvinitida.  la  criticidad  de  lav  aplicacionev.  la 
lecaologia  usada.  el  mareo  legal  aplicablc.  cl  vector  de  la  entidad.  la  entidad  rnisma  y 
el  momento. 

Para  ello  lov  auditorev  divponcmov  de  liuav.  que  normal  memo  mclu  mov  en  Itojav 
de  cilculo.  o  bien  uvamov  poquetev.  y  ul  sc/  cn  el  future  vivtcmav  exentov  El 
problcma  viguc  viendo  la  adaptacirin  de  lov  puntov  a  cada  caw.  y  avigrur  el  peso  quo 
pxde  tener  cada  uno  de  lov  puntov. 

I)rvdc  la  pcrvpcctiva  dc  la  auditorfa  dc  la  veguridad  cv  ncccvirio  revival  vi  ve  han 
convxkrado  las  amenaxav,  o  bien  evaluarlas  si  es  el  obyetivo.  y  dc  todo  *po:  ctrotcs  y 
negligenoav  cn  general,  desastrev  naturalcv.  fallot  dc  invtalacioncv.  o  Ncn  fraudes  o 
delitos.  y  que  pueden  traducirvc  cn  daitov  a:  personas,  datov,  programav,  redes, 
insulacioncs.  u  otros  activov.  y  llcgar  a  vuponer  un  pcor  vcrvicio  a  uvuartov  intemov  y 
memos  <*tov  normalmcnte  clientcv.  imagen  degradada  u  otros  diffcilmente 
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cuanlificaWcs.  e  incluso  pcidida  irreversible  de  daios,  y  hasiael  fin  de  la  actividad* 
la  cntidad  cn  los  casos  mis  grascs. 

Para  olio  cs  ncccsano  cvaluar  Us  sulncrahihdades  quc  aisKn,  ya  quc  U  calm 
de  prorecodn  sc  pudri  romper  coo  mayor  pcohabilitUd  por  les  eslaboncs  mis  ilehia. 
quc  serin  lot  quc  prcfcrcmcmcntc  intentarin  usar  quienet  quirian  acccdcr  dc  forma  ae 
aulorizada. 

Dcbcmos  pcasar  quc  las  mcdidas  deben  consider  arse  como  inter-doors  n 
seguridad.  aunque  cn  algunos  casos  sc  nos  lu  dicho  quc  nocs  ficil  reflejarUs  como 
aciitos  coma  Wes  m  saber  cuil  es  su  rcniabUidad;  podemo*  cslar  dc  acuerdo,  pan 
,cuil  es  la  rrnubilidad  dc  Wmdar  la  poena  dc  acccso  a  nacstro  domicilio  o  la  4e 
insular  un  anlinrobo  cn  nuestro  automdsil?  Esa  rcntabdxlad  la  podemos  dcterrnuura 
los  disposittvos  o  condoles  han  servido  para  ctiur  la  agresidn.  y  a  vccct  haM 
coostiluido  simplcmcnic  una  medida  disuasorio.  sobre  lodo  on  scgurklad  Idgica.  y  so 
llcgarcmos  a  conocer  su  cfcclo  positivo. 

En  lodo  cavo  dcbcmos  iransmitir  a  kn  audilados  quc.  accmis.  U  tcguhdad  Uric 
un  impacto  favorable  cn  la  imagen  dc  las  cntidadcs  (aunque  esto  solo  no  web 
jusiilicar  Us  intcrsionesl.  y  lanio  para  cltcnlcs  y  posiWes  como  para  los  rmpkaim 
t'nos  y  orros  pueden  senlirse  mis  procegidos.  asf  como  sus  activos. 

La  proteccidn  no  ha  dc  basal  sc  idlo  cn  dispositivos  y  medios  fisicos.  sino  a 
formation  c  informacidn  adccuada  al  personal,  empe/ando  px  U  mcnuli/acite  a  In 
directives  para  quc.  cn  cascada.  afccte  a  todos  los  nivclcs  dc  It  puimide  oegamzatna 

I-.I  factor  huniano  es  d  principal  a  considerar.  salvo  c»  algunas  siluaciooes  it 
proteccidn  fi'sica  muy  automaii/adov  ya  quc  es  may  erftko:  s  Us  personas  r>o  quota 
colaborar  de  poco  sirven  los  medios  y  ditposaiisos  aunque  sc*  caros  y  sofisti calcs. 

Adeinis,  es  convcnicntc  quc  haya  cliusulas  adecuadas  cn  los  contratos,  wan  it 
trabajo  o  dc  otro  tipo.  especial mente  para  quienes  eslin  cn  fucciones  mis  criticas. 

Es  ncccsaria  una  separation  dc  funcioocs:  es  pdigroso  quc  una  inisma  povoa 
real  ice  una  transaccidn.  la  autoncc.  y  revise  despuds  los  rsultados  (un  <i»ano  dc 
opcraciones.  por  cjcmplo).  porque  podrva  planificar  un  frawlc  o  cncubnr  ctulqurr 
anomalfa.  y  sobre  todo  cquivocarsc  y  no  dcteclarse.  per  dlo  deben  intcisrtir 
funciooes/pcrvonas  difcrcnlcs  y  cxistir  coniroles  suftcicntcs. 

En  un  proceto  de  audiloria.  por  unto,  sc  evaluaran  tod«s  cstos  aspcctos  y  oow, 
por  cycmplo  si  la  segundad  es  rcalmcnie  una  preocupacidn  co-porauva  no  es  suficx* 
quc  cxixta  presupucsto  para  ello:  si  Us  personas  a  inferences  nivclcs  cKh 
mentalizadas.  pucs  es  ncccsaria  una  cultura  dc  la  srguridad;  y  si  hay  un  conned  (ft 
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C je  O  apruche  los  object  v  os  correspond  icntcs  y  cn  quo  medida  se  alcanran.  qud  modelo 
dr  seguridad  sc  quierc  implant  ar  o  se  ha  implant  ado.  que  politic**  y  proccdimicntos 
eunen:  mj  idoiveidad  y  grado  de  cumplimicnto.  asi  como  la  forma  cn  que  sc  rcali/a  el 
dcsanotlo  dc  aplicacionev.  si  el  proceso  se  lies  a  a  cabo  igualmcntc  cn  un  ctuonto 
icguro  con  separacidn  de  programas  y  separation  cn  cuanto  a  datos  si  los  seguros 
cobren  los  riesgos  rcsiduale*.  y  si  e*U  previvu  la  continuidad  de  las  ofcraciones  en  el 
catode  incidencias 

Una  vc z  idenlificados  y  medidos  I  os  riesgos.  lo  mejor  serta  poder  eliminurios. 
pero  ya  hemo*  indicado  que  nonnalmcntc  lo  mis  que  conscguimos  es  dKminuir  la 
prohabilidad  de  que  algo  sc  produ/ca  o  bscn  su  impacto:  con  stuemas  4c  detcccidn.  dc 
extincidn.  mcdiante  revisiooes  periodic**.  copiando  archivos  cnticoc  exigiendo  una 
concrasefla  u  otros  cootrolcs  segvin  los  casos 

Algunos  manuales  hablan  dc  transfrrir  los  riesgos.  por  cjemplo  contraundo  un 
trgum  pero  debemos  rccordar  que  si  sc  pterdrn  los  datos  la  cntidid  aseguradora 
atanara  el  importe  cstipulado  -si  no  puede  acogcrsc  a  alguna  cllusula  en  letra 
pequefta-  pero  la  entidad  seguiri  sin  rccuperar  los  datos. 

Otra  posibiltdad  es  •sumir  los  riesgos,  pero  debc  haccrtc  a  un  ni'cl  adecuado  cn 
b  enltdad.  y  conudcrando  que  puede  ser  mucho  mayor  el  coste  de  la  n  seguridad  que 
(I  dc  la  scgurxJad.  lo  que  a  vcces  s6k>  sc  sabc  cuando  ha  ocunido  algo.  (Cull  es  el 
riesgo  truxuno  admmblc  que  puede  permitirse  una  cn1idad',  Alguna  vex  se  nos  ha 
hccho  la  pregunta.  y  depende  dc  lo  crftica  que  sea  para  la  entidad  la  informacidn  ad 
como  disponer  de  ella.  c  incluso  puede  depender  del  momento:  es  un  lema  tan  crftico 
qx  no  puede  gencralt/arsc 

Algunos  de  los  riesgos  se  han  podido  asumir  de  forma  temportl.  por  estir  en 
proceso  "dc  cambso  las  plauformas.  las  aplicactoncs  o  las  insulacunes.  o  por  no 
etntir  presupuesto  ante  las  grandcs  insersiones  nccesarias;  cn  todos  los  casos  debc 
consta?  por  cscrito  que  se  asumen  y  qutfn  lo  hacc.  y  ha  de  ser  alguien  con  potestad 
pm  hacerlo.  ya  que  a  menudo  son  tlcnicos  tntermedios  quicacs  asumen  la 
Kspoesabitidad  sin  poder  hacerlo.  o  bicn  los  directives  seAalan  a  los  tfcmcos  cuando 
ecwrc  algo  »ii>  qverer  mmii  mnjuiu  roponsobiluidd. 

Si  la  entidad  auditada  esti  en  medio  dc  un  proceso  dc  impanucidn  de  la 
Kgundad.  la  evaluation  se  centrarl  cn  los  objctivos.  los  planes.  qu6  proyectos  hay  en 
curio  y  los  medios  usados  o  pre vistas 

La  esaluacidn  de  riesgos  puede  ser  global:  todos  los  ustemas  4e  information, 
centres  y  plauformas.  que  puede  cquivalcr  a  un  chcqueo  medico  general  de  un 
iodividuo.  y  que  es  habitual  la  primers  vez  que  se  reali/a.  o  bier  cuando  se  ha 
prcducido  el  nombramiento  de  algun  responsible  rclacionado.  o  cuando  una  entidad 
corapra  otra.  pero  puede  producuse  tambiCn  una  cvaluacidn  partial  de  riesgos.  tanto 
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por  areas  coino  pot  ccntros.  dcpanamcntov  icdo  o  gplKxnoei,  avi  como  ptmi  a  ■ 
proyedo.  cwno  poetic  ter  uru  aplicactdn  a  imeiar. 

A  menudo  cn  la  auditor™  extema  te  irala  tie  caber  m  la  cmxlad.  a  iratet  de 
funcionet  como  admimtiracidn  dc  la  tegundad.  aodttorfa  interna.  u  otns  a  la 
antertoret  no  cxitlicran.  ha  evaluado  de  forma  adccuada  lot  netgoc.  ti  lot  informs 
han  llegado  a  lot  dcstmalanot  eorrcspoodientcs  y  m  tc  ctlin  lomando  lat  mold* 
pcrtincntct.  ati  como  ti  cl  proceto  se  rcaliza  con  la  frccucncia  nccctana  y  bo  kt 
conuituido  on  hccho  aitlado. 

bn  cslot  catot  te  debe  cooudcrar  la  meTodologia  que  te  tiguc  para  cvaltar  lot 
rictgot  mi\  que  lat  her  ra  mien  tat.  aunque  tin  deyar  dc  analtur  esut.  y  sa  se  ha 
conodcrado  tcxlot  lot  rictgot  -al  me  not  lot  ntit  importantcs-  y  ti  te  han  mcdido  Imol 
ya  quo  tobre  lodo  cuando  la  cvaluacido  se  hace  dc  forma  interna  por  tdenkot  del  ires 
dc  tiMcmat  dc  informacidn.  tuclcn  mmimi/ar  lot  rictgot  porque  Ikvan  ait* 
convivicndo  con  el  lot  o  timplemcnte  lot  detoonocen. 

La  vegurtdad  no  cv  un  tema  meramente  tecmco.  aunque  scan  muy  tecnca 
algunac  de  lat  medidat  que  hay  a  que  implantar. 

Fa  nccctana  la  designacidn  de  propietariot  dc  lot  activcis.  tobre  todo  lot  dcor 
(por  dclcgaodn  dc  lot  litularcs).  y  que  too  quicnet  pueden  reali/ar  la  datificarta  y 
autoruar  las  regUs  dc  acccso:  un  bocn  proptciario  te  intcrctani  por  lot  rictgot  qae 
puedan  cxislir.  por  lo  que  promoveri  o  exigira  la  reali/acidn  dc  audiiorfas  y  qoert 
conoccr.  en  icnmnot  no  tdcmcot.  la  tutUncia  dc  lot  mformes. 

Al  habtar  de  teguridad  ticmpre  te  habla  de  tut  ires  dimensioned  ell  ties 
conlidcncialidad.  inicgndad  y  ditpombilidad  dc  la  informacidn.  y  algunot  tommies 
van  mix  dirigidot  a  Iratar  de  garantizar  alguna  de  etiat  caractcristkas. 

La  confidencialidad:  .c  cumple  cuando  tdlo  lat  persona*  autonraiUt  ten  m 
teniido  amplio  podriamot  refenmos  lambien  a  titiemat)  pueden  conoccr  lot  dtfot  o  U 
informacidn  correspond icmc 

Kxlcmot  preguniamot  ^qud  ocurrirfa  si  un  topone  magnet  ico  con  lot  daiot  de  los 
cite  met  o  cmpJcados  de  uru  entidad  fucra  ccdido  a  tcrcerot?.  ,cual  podria  ter  w  uto 
final'.’,  ihabria  una  cadena  de  cesionct  o  veniat  incomroladat  de  csos  dalos? 

La  LORTAD  y  la  I.OPD  han  influido  potuivamenic  cn  concienciamos  respecooi 
la  confidencialidad. 
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La  intcgridad:  consult  en  quc  sdlo  los  uxuanos  wtun/akn  pucdan  xariar 
(nodlftcar  o  borrar)  los  duos.  Dcbcn  qucdar  pi  Was  para  control  posterior  >  pant 
■Aorii. 

Penvemox  quc  alguicn  inttodujera  t  ariac tones  de  forma  quc  prrdicramox  la 
mformacii'm  dc  dcterminadas  dcudas  a  cobrar  (o  quc  sm  per  delta  tuvilramos  quc 
rccurhr  a  la  information  cn  papcl).  o  quc  modifieara  dc  forma  alcaloru  pane  dc  los 
domkilins  dc  algunos  clicntcs 

Algunas  dc  extas  acetones  sc  podrian  (aidar  cn  defedar.  y  lal  sc/  las  dif cremes 
copiax  dc  xegundad  bee  has  a  k)  largo  del  l tempo  esurian  “siciadas"  (conuptas 
detimos  a  wees),  lo  quc  lurfa  diftctl  la  rvconsmiccidn 

La  disponibilidad:  sc  akanu  si  las  personas  autori/adax  pueden  acccdcr  a 
tiempo  a  la  informacidn  a  la  qoe  cstln  auton/adas 

HI  disponcr  dc  la  informacidn  despots  del  momerno  nccesano  poede  cquixalcr  a 
U  falu  dc  disponibilidad.  Oiro  lema  es  disponcr  dc  la  informacidn  a  tempo  sin  quc 
fsia  sea  corrccla.  e  incline  sin  saberse.  lo  quc  poede  original  la  loma  dc  deeixiones. 
Brians. 


Mis  graxc  adn  puede  scr  La  auscncu  dc  disponibilidad  absolufii  por  haberse 
froducido  algOn  desastre  En  esc  caso.  a  mcdtda  quc  pasa  cl  tiempo  d  impocto  sera 
atayor.  hasU  llcgar  a  suponcr  la  falla  dc  contimudad  dc  la  cniidad  com*  ha  pasado  cn 
(me bos  de  los  cases  producidos  (mis  dc  un  80%  segdn  las  cstadivticas) 

Dchr  cxistir  ademis  aulrnticidad:  quc  los  dal  os  o  informacidn  wan  autlntkos. 
otroduodos  o  cotminicados  por  usuanos  autenticox  y  con  las  autori/acionex 
Koesarias. 


17.4.  FASES  DE  LA  AUDITORIA  DE  SEGURIDAD 


Coo  (vfcKr  general  pueden  ur. 

•  Coocrccida  dc  los  objelivos  y  dclimiucidn  del  akancc  y  protundidad  dc  la 
audiloria.  asi  como  dc)  periodo  cubseno  cn  so  caso.  por  cjcmylo  icvistoci  dc 
acccsos  del  ultimo  trimexttc.  si  no  sc  ctpecifica.  los  audilorcs  deberin  citar  cn 
cl  tnforme  cl  perfodo  rcsisado.  porque  podrfa  aparccet  ahuna  anomalia 
anterior,  incluso  dc  hacc  mucho  tiempo.  y  llcgarsc  a  considers  una  dcbilidad 
dc  la  audilorfa. 


Anilisis  dc  posibles  fucnlcs  y  rccopilacidn  dc  informacidn:  cr  cl  caso  dc  los 
internes  ewe  proeexo  poede  no  exisur. 


•  Determination  del  pUn  de  trabajo  y  de  lot  rccursot  y  plum  cn  cue 
nccctano.  a*i  corao  de  comunicacidn  a  U  entsdad. 

•  Adaption  de  cucvtionanos.  y  a  vcces  comrderacoo  de  hcrramiercti  o 
perfilct  de  espccialitta*  nccesario*.  tobce  todo  cn  la  auditoria  externa. 

•  Realizacidn  de  cntrctistas  y  pruebav 

|  •  Anilim  de  rcsultados  y  valoractdn  de  nesgos. 

•  Presentacidn  y  discuudn  del  informe  provisional 

•  Informe  definitive*. 


17.5.  AUDITORiA  DE  LA  SEGURIDAD  FISICA 

Se  cvaluardn  lax  protccckme*  fiticas  de  datot.  programav  mttalacionc*.  cquipc*. 
rede*  y  soportes.  y  poc  vuporMo  habri  qoc  consider*!  a  In  personas:  qoc  esifa 
protegidat  y  exittan  medidat  de  cvacuaciOn.  alamuv  talidai  alternaiivav  at/  com 
que  no  cstdn  cxpocua*  a  riesgo*  tupenorrs  a  lot  contidcrados  idmatiblcs  en  la  ecedjd 
e  incluvo  en  el  ted  or.  por  cyemplo  por  eonvenio  o  nocmativa  ctpcclfica;  y  «  hca 
todos  cMos  a  sped  os  suelen  ter  comunrt  eon  las  medidas  generates  de  la  eniidad.  ca 
una  auditor/a  de  sisiemas  de  informaodn  nos  preocupomot  especial nier> te  por  qu.-ean 
estdit  en  el  Area  o  de  lot  dados  qoc  puedan  afectar  a  lot  utuinos  de  lot  u Menus  s 
entra  dentro  de  la  audttoria. 

Las  amrnaaat  pueden  ser  muy  divert**:  sabotage.  vandalism©.  terroovan. 
accidentes  de  dntinto  tipo.  incendiov  mundaciooev  avert**  important* 
dcmimbamieniot.  csplosionev  asl  como  otrot  que  afcctan  a  las  personas  y  puedn 
impactar  el  funcionaimcnto  de  los  centres,  tales  corno  errores.  negligencias.  huclgis. 
epsdemias  o  intoxicacsones. 

(Hay  algo  mis  que  no  recogemot  cn  los  informe*.  pec©  convcncidot  de  que  tc 
irata  de  una  amcna/a  real  sf  lo  comcntamos  terbalmente  a  veces  en  la  prcteniacido  dd 
informe  o  en  cursos  a  tabiendas  de  que  produce  comen  tanos  la  loterfa:  si  loca  cn  m 
(Ire  a  un  prermo  import  ante,  juegan  todos  cl  mitmo  mlmcro.  y  no  exitten  sustituto*  o  no 
Kay  una  documentacidn  adecuada  pensemos  cn  un  gapo  que  manltcnc  uu 
aplicaciOrv-  se  puedc  ongmar  un  problems  importanie.  y  la.  prevenetdn  no  c*  ftal 
poeque  no  se  puede  impedir  el  hecbo  l 

Desdc  la  pcrspcctita  de  las  proteeeiones  fiticas  alguncs  atpeclos  a  consider* 

son: 
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Ubscaodn  del  centre  dc  proccsos.  de  los  scrvidorcs  locales,  y  en  general  de 
cualquier  elemeMo  a  protcgcr.  como  poedan  ser  Ids  propios  terminates, 
espccialmcntc  en  zoom  de  pato.  de  acccso  publico,  o  prdximos  a  senunas  en 
planus  bajav  Preteccidn  de  computadorcs  poetic  ilea,  inclino  (uera  de  las 
oficinas:  aeropuerto*.  automdsilev  reauurantea ... 

liatiuciura.  disc  (Vo.  construction  y  distribution  de  los  editions  y  dc  aua 
planus. 


•  Ricsgos  a  tos  que  eatin  expucslot.  luito  por  agenica  extemot,  casuales  o  no. 
como  por  accesoa  listens  no  cootrolados 

•  Amcna/as  de  fuego  (nvaienalea  emplcadoai.  neagoa  por  agua:  por  accidenlea 
atmosfcncos  o  por  aterfas  en  las  conduct looca.  problcmas  en  cl  auminislro 
ekcuico,  unto  por  caidaa  como  por  perturbacioncs 

•  Controles  canto  preventiaos  como  de  detecodn  relacionados  con  los  punloa 
antenorea.  asi  como  de  acccso  basindose  en  la  clasificacidn  de  ireaa  aegiin 
utuariox.  incluao  segun  dia  de  la  semana  y  horano. 

•  Ademis  del  acccso.  en  detemunadoa  cdificios  o  ireaa  debe  concroUrae  cl 
cooccmdo  de  cartcra*.  paquetes.  boltos  o  cajas.  ya  que  podrian  contener 
explosives.  aa(  como  lo  que  se  quicrc  aacar  del  edifioo.  para  evitar 
sustituooocs  o  sustraccibn  de  equipoa.  componcniea.  aoportes  mag  nbtx.cn. 
documentation  u  otros  actives. 

El  control  deberi  afectar  a  las  visilas.  proaccdores.  contratadov  dientea ...  y  en 
casos  mis  estnetos  igualmentc  a  los  empteados;  los  ex  empleados  sc  deberin 
considcrar  visitas  en  todo  case 

•  Protoccidn  de  los  soportes  magnbticos  en  cuanto  a  acccso.  almacenamicnto  y 
postblc  transporte.  ademis  dc  otras  protccc  tones  no  ftsicas.  todo  bajo  un 
usteina  de  insenuho.  asi  como  protcccidn  de  documcntos  imptesos  y  de 
cualquier  tipo  de  documcntacidn  dasificada. 

Es  ficil  y  borato  obtener  copus  magnetic*!  periodic*!  de  datos  y  de 
program*!  frente  al  perjuicio  que  nos  puede  causar  el  no  haberki  liecho.  cs 
mucho  mis  diffcil  o  caro.  o  no  es  posiblc.  obtener  copias  coo  igual  valor  de 
otros  objetos  o  activos  como  obras  de  arte 

Todos  los  punt  os  an  ten  ores  puede  n.  ademis.  esur  cubiertos  por  seguros. 
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17.6.  AUDITORiA  DE  LA  SEGURIDAO  LOGICA 

Es  necesario  verificar  quc  cada  usuano  sdlo  pueda  acccdcr  a  los  recurso*  a  lot 
quc  Ic  autonce  cl  propietano.  aunquc  sea  dc  forma  gcnerica.  <gun  *u  funcidn.  y  cob 
las  posibilidadcs  quc  cl  propteurio  hay  a  fijado:  Icctura.  modification.  bonaJo. 
cjccucidn...  trasladando  a  los  sistemas  lo  quc  rcprcscnlariamos  cn  un.i  matrb  dc 
accrsos  cn  la  quc  figuraran  !<■'  sujctos:  grupos  dc  usuarww  o  sistemas.  los  objctos  qcc 
pucdan  vcr  acccdidos  con  mayor  o  mcnor  granularidad:  un  di<co.  una  aplicacida.  uat 
base  dc  da(os.  una  librcrfa  dc  programav.  un  tipo  dc  transaccidn.  un  program*,  un  cp» 
dc  campo...  y  para  comptdar  la  tripicta.  las  posibilidadcs  quc  sc  Ic  o<  organ:  lectio, 
modification.  bon  ado.  cjccucidn  ... 

Desdc  cl  punto  dc  vista  dc  la  auditoria  cs  ncccsano  rcsisir  c6mo  sc  tdcnliftcm  y 
sobre  todo  autcnttcan  los  usuarios.  edmo  ban  stdo  autoci/ados  y  por  quidn.  y  qut 
ocurrc  evando  sc  produccn  iransgrcstoncs  o  intentos:  quidn  sc  cnicra  y  cuirvdo  y  qof 
sehacc. 

Kn  cuanto  a  autcnticacidn.  hasta  tanto  no  sc  abaralcn  mis  y  gcncraliccn  kt 
sistemas  basados  cn  la  biomrtrica.  cl  mdtodo  mis  usado  cs  la  rontrascAa.  cuyat 
caractcrfsticas  serin  acocdes  con  Us  normas  y  csiirxlarcs  dc  a  entidad.  quc  podrun 
contcmplar  difcrcncias  para  scgiln  quf  sistemas  cn  funetdn  dc  la  criticidad  dc  Vm 
rccursos  acccdidos. 

Algunos  dc  los  aspectos  a  cvaluar  rcspccto  a  las  coni  rase  fas  poeden  scr. 

•  Quifn  asigna  U  contrascAa:  inicial  y  succsisas 

■  lamgitud  minima  y  composition  dc  caractcrcs. 

•  Vigencia.  incluso  poede  habcrlas  dc  un  solo  uso  <•  dcpcndicntcs  dc  oai 
functor  tiempo 

•  Control  para  no  asignar  las  ultimas. 

•  NO  mere  dc  intentos  quc  sc  prrmitcn  al  usuano.  e  msestigactoi  posterior  dc 
los  fal  lidos:  poeden  scr  mores  del  usuario  o  intentos  dc  suplantacidn. 

•  Si  las  contrascAas  cstin  cifradas  y  bajo  quc  sistema.  y  sobre  todo  quc  o> 
aporezean  cn  claro  cn  las  panulUs.  Iistados.  mensajet  dc  comunicacmncs  o 
comcnics  dc  trabajo*  (JCL  cn  algunos  sistemas). 

•  Pro*ccctor  o  cambio  dc  Us  contrascAas  initiates  quc  Ikgan  cn  los  xistemai,  j 
quc  a  menudo  aparcccn  cn  los  pcopios  manuates 
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Controls  cxiucnte*  para  cvitar  y  detcctar  cahallox  dc  Troya:  cn  evtc  contcxto 
vc  trau  Jc  un  program*  reside  nte  cn  un  PC  quc  cmuUrxJo  un  t:rmirul  sirnulc 
cl  contcnido  dc  la  pamalla  quc  recogc  la  hJcMificacidn  y  ,-ontrascAa  del 
usuarto.  grabc  U  c  ontra.se  Aa  y  dcvuclva  control  al  sisicma  vcrdadcro  despots 
dc  algiin  menuje  simulado  dc  error  quc  normalmcntc  no  deepen  ard  lac 
sospcchas  del  usuario 


•  I  j  no-ccsidn.  y  el  uvo  individual  y  responsible  dc  cada  usuana.  a  panir  dc  la 
nonnativa. 


Sicmpre  se  ha  dicho  quc  la  contravcAa  ha  dc  ser  diffcilincnte  imaginable  por 
qcnov  y  ficilmcntc  recordable  por  el  pcopto  uvuaho,  y  CMC  tiltimo  avpvcto  se  pone  cn 
pritgro  cuando  un  mivmo  uvuario  ha  dc  idcntificarvc  ante  disnntov  uitemas.  para  to 
if*  puedc  asignar  una  miuna  contrascAa.  lo  quc  vupone  una  vulncrahilidad  »i  la 
pnaeccidn  es  dcsigual.  por  vet  habitual  quc  cn  pcqueAov  sistcma*  o  aplkacionc* 
KiUdat  lav  contravcAav  no  esiin  cifradat  o  lo  eudn  bqjo  m  etc  mac  vulnrrablev:  vi  opta 
par  asignar  vahav  contravcAav  puede  quc  ncccritc  anotartac. 


La  volucidn  mac  adccuada  por  ahora  puede  conxivtir  cn  utili/tr  slstemas  dc 
UrntiflcacMn  union  (tingle  tign-on)  quc  facililcn  la  admimvtracitn  >  cl  aeeevo. 
pcnnitidndolo  o  no  a  scgiin  quC  ucuariov/sivtcmav/funcioncv.  o  bicn  adaptor  cualquicr 
etro  tipo  dc  solution  quc.  con  garantias  vulicientcs.  piaeda  propagar  la  ontraveAa  eturc 
■Menus. 


En  la  auditor!*  debemov  verifkar  quc  el  proccvo  dc  altav  dc  uvuiriov  sc  rcali/a 
•epic  la  nomuliva  cn  vigor,  y  quc  lav  autori/acioncv  requervdav  von  adccuadav.  ad 
cotno  la  gestfon  posterior  como  variacioncv  y  bajas.  y  quc  los  uvuariov  activov  siguen 
ttfcntcv.  y  vi  vc  re  visa  cuitcs  von  uutiieos  y  pot  quc,  por  ejempto  contrastando 
pcrddicamcntc  con  la  base  dc  dalos  dc  emplcadov  y  contratadov  Debvera  evtar 
pronto  bloquear  a  un  usuario  quc  no  acccdiera  cn  un  perfodo  detemunaJo.  1 35  d!av? 


Ora  poviblc  dcbilidad  quc  debe  convidcrarsc  cn  la  auditor! a  es  si  puede n  crcacsc 
dtuarionrs  dc  bioquco  porque  solo  cxivta  un  admintstrador,  quc  puccc  estar  ausente 
dc  forma  no  previvta.  por  cjcmplo  por  haber  sufndo  un  accidence  c  impedir  la 
ataevSn  nuevov  usuarios  cn  un  sutema  dc  adtninivtracidn  ccntralirada  v  tinica:  cn  miv 
dr  can  ocasidn.  scgiin  dc  qud  entomo  sc  Irate  he  mo*  revomendado  l»  cxivtencia  dc 
aigila  muano  no  asignado  con  pcrfil  especial  y  contravcAa  protcgida  qu:  pueda  utili/ar 
ilftiita  con  autoridad  cn  cavo  dc  cmcrgcncia:  todav  vus  opcracioncv  Icbcrin  quedar 
Rgneradas  para  control  y  auditor!* 
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17.7.  AUDITORIA  DE  LA  SEGURIDAD  Y  EL  DESARROLLO  DE 
APLICACIONES 

Todot  l<H  dcxamillov  dchcn  ectar  autori/adot  a  drvlinto  ruvcl  scgaa  b 
important: la  del  dcsarrollo  a  atiordar.  incluv)  aulon/odoN  por  un  comity  m  lot  cosine 
Ion  nevgov  Mipcran  uno\  umbralcv  vc  revisari  la  panicipocibn  de  uMiario*.  y  dr  lea 
auditnrrN  miemot  m  la  auditoria  es  externa,  a  qub  librcriav  puedert  acccdcr  lot 
dr  carrot  ladorcs.  u  hay  scparacibn  Mjfroetue  de  entomo*.  la  metodologia  segod x  , 
ctclov  de  vida.  geuibn  de  los  pcoycctov,  conxidcracioncs  evpeculev  revpccto  i 
apin' oooocn  qoe  traten  daitn  clavificadov  o  que  tengan  iranvacoonev  eoondmicaiode 
ncxgo  especial.  ibrmmoN  de  Ion  contraiov  y  cumpkmicnto.  vclcocibn  y  two  de 
paquetev  r  call /acton  de  prucbsN  a  diviinto*  nixelev  y  rtuMcmmjcnto  posterior.  id 
como  dcxarrolloN  de  uvuanov  fmalcv 

El  pave  al  entorno  de  cxplotacibn  real  debe  eviar  control  ado.  no  devcartindoic  b 
rrvtdbn  de  programs*  por  parte  de  Ibcnico*  independientCN.  o  bicn  por  audiocner 
preparadov.  a  fin  de  determmar  la  auvencu  de  "caballov  de  Troy  a-.  bombas  Ibgscav; 
vimilarev  adetnis  de  la  caltdad. 

Otro  axpccto  e»  la  prolcrcibn  de  Ion  programs',  al  menov  dexde  6a 
pcrxpcctsvas:  de  Ion  programs',  que  vean  propsrdad  de  la  entidad.  reali/adov  por  d 
pervonal  propio  o  conlratado  mi  devarrollo  a  tcreerov.  como  el  uvo  adecuado  de 
•quell on  programs*  de  kn  que  ve  tenga  Itccncia  de  uvo. 

17.8.  AUDITOR!'  DE  LA  SEGURIDAD  EN  EL  AREA  DE 
PRODUCClbN 

la'  entidade'  han  de  cuidar  cxpccialmcntc  la'  medida'  de  proteccibn  en  cl  case 
de  contrataribn  de  verviciov  dcwle  el  povblc  rtiarcado  de  datoN.  proccvo.  imprest* 
de  cliqueta',  diuribocibn,  accionev  comercialc'.  gestibn  de  cobrov.  funa  d 
imttourcing  mi'  completo.  «n  dcscartar  que  en  el  contrato  sc  prevea  la  revitabn  por 
lov  auditorcN.  nMcmos  o  extemov  de  las  instalaoonex  de  la  entidad  que  provee  d 

•mirin 

Tambibn  debe  revixarve  la  proteccibn  de  ulilidades  o  programs'  rspccuIfncMe 
pcligronot.  av(  como  el  control  cn  gencracibn  y  cambroN  poNteriore'  de  todo  d 
software  dc  siMcms'.  y  de  forma  especial  el  de  control  de  accesov 

Otro  aspccto  a  revivor  e»  cl  control  de  lot  formularios  crfticox. 

La  gettibn  dc  problems'  y  cambios  y  la  calislad  von  aspcctoc  que  tambien  times 
qoe  ver  con  la  'cgundad. 
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17.9.  AUDITORIA  DE  LA  SEGURIDAD  OE  LOS  OATOS 

Et  un  atpccio  quc  pucdc  enlendcr\e  dcturo  de  la  Prodocodo  y  1st 
Comunkacioncs.  pcro  quc  merccc  ser  tratado  dc  forma  ctpctffica.  Dccfamm  quc  Wm 
dHiM  y  U  information  put  Jen  llcgar  a  conttituir  cl  act  no  mit  crftieo  para  la  cniidad. 
httta  cl  punto  dc  quc  cn  muchac  multinaoonakt  la  funetdn  gendnta  de  adminis¬ 
tration  «lc  vegundad  licnc  la  denomination  dc  Data  Security. 

I  am  dal  cm.  ademit  dc  alfanumdncot.  poeden  conuUir  cn  imigcncs  dc  planet.  cn 
otrot  discftm  u  objetm.  grit  mm.  acdslicov  y  otrot.  y  cMar  almaccnadcn  cn  mediot  y 
topoctc*  divertos 

La  protection  dc  lot  datm  pucdc  tenet  van*M  enfoquet  rctpecto  a  la\ 
(aractcritticat:  la  confide ncialidad.  dnpombilidad  e  iniegndad  Pucdc  haher  datm 
critkos  cn  ruanto  a  mi  confldrnrialidad.  como  datm  mMem  u  otnn  especial  menlc 
sctwblet  para  la  I.OPD  l  sober  religion.  vrxo.  HO...),  oerrn  daten  cuya  critiddad  vicne 
dada  por  la  disponihilidad  vi  «  pierden  onoie  poeden  utilirar  a  tiempo  pueden 
umu  pcrjuicKM  pticc  y .  cn  lot  casos  mit  extremm  poncr  cn  pcligro  la  contuundad 
de  la  cniidad.  >  liiulmen'.e  otrot  datm  criticm  atendirndo  a  mi  Intrgridad 
opetialmcmc  cuando  mi  perdida  no  pucdc  detecurte  ficilmcNc  o  una  set  dctcctada 
bo  c*  ffcil  reton  vtruirkM 

Aunque  lot  librcn  no  suelcn  oiarlo  atf.  not  gusu  hablar  dc  controlcx  cn  lot 
difcrcnict  puntot  del  ddo  dc  tida  dc  lot  datot,  quc  ct  lo  quc  ha  dc  ret  none  cn  la 
auditor!*: 

•  Detde  cl  on  gen  del  date,  quc  pucdc  ter  deniro  o  fucra  dc  la  cniidad.  y  pucdc 
incluir  preparation.  autnn/actOn.  incorporation  al  tittema:  por  cl  clrcntc.  por 
empkadot.  o  bicn  ter  captado  dc  otra  forma,  y  debe  revitarte  cOmo  tc 
vcrifican  lot  erroret. 

•  Proccto  dc  lot  datm  conuolet  de  validation.  iniegndad.  almaccnamicnto:  quc 
caiMan  «fi«  <ufici«t«.  tim-mm/adat  y  protcgidav 

•  Salida  dc  rrtulladot:  controkt  cn  trantmitionct.  cn  impersido.  cn  dittnbucidn. 
cn  sen  tcios  cnMraiadot  dc  manipulacidn  y  cn  cl  entto;  conciliation  previa  dc 
talidat  con  entradat.  por  pcrtona<  liifcrrntcs.  pan  tletcs'Ur  ermres  y  pmtNcs 
inteMot  de  fraude. 

•  Retention  dc  la  informacidn  y  protection  cn  funcidn  dc  Hi  clauficacido: 
destruction  dc  lot  difcrcnict  soponcx  quc  la  contcngan  cuando  ya  no  tea 
nccesari*.  o  bicn  OcsmagncuiaciOn 
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K\  necesaria  la  designation  dc  propietariox,  claxifcacidn  dc  lot  datot. 
rcstriccidn  dc  su  uso  para  prucbas.  indusidn  dc  mucscas  para  podcr  detectar  uku  m 
auton/ados,  asi  como  aprovcchar  las  posibilidadcs  dc  protccodn.  control  y  Mdttxfe 
del  Sistcma  dc  Gotidn  dc  Bases  dc  Datos  qoc  sc  cst t  ulih/ando. 

En  cuanio  a  la  clast  ficacitin  dc  daios  c  informacidn  debe  rcvtsanc  quidn  U  la 
real i /ado  y  segiin  qud  critcrios  y  cstindarcs:  no  suclc  scr  pritico  qoc  haya  mis  de 
cualro  o  cinco  m  voles  En  ocasioocs  la  denominacidn  sin  clasificar  sc  aplica  Unto  a  lot 
datos  que  no  rcquicrcn  protection  -en  ocasioncs  incluso  convicne  divulgarlos-  cdmoi 
los  que  cstin  pcndicntcs  dc  clasifkar.  por  lo  que  cs  ncccsario  difcrcnciar  las  dot 
tituacioncs.  Tatnbidn  cs  conveniciuc  qoc  sc  distinga  por  eategwfas.  asociadas  a  ktu  r 
funcionalcs  o  proycctos. 

Aquellos  soportes  que  contcngan  datos  o  information  dc  os  nisclcs  mis  erfnees 
cstarin  especial  mente  peotegidos.  incluso  cifrados.  Entre  esoa  soportes  poeden  esur 
titagndlicos.  papcl.  coeminicacioncs.  corrco  ckcitdnico.  fax.  c  iscluso  so/ 


En  algunas  cntidadcs  licncn  etiquetas  o  carilulas  para  difcrcnciar  soperto. 
Iistadcn.  y  docunicntos  cuyo  contcnido  csti  cspccialincntc  clasiftcado.  lo  quo  et 
ocasioncs  puede  llcgar  a  alert ar  incluso  a  dtslancia  a  qutcnct  no  cstdn  auton/ados. 


Rcspccto  a  cllente-scrvldor  cs  ncccsaho  ven  Hear  los  coniroles  en  varios  purees, 
y  no  sdlo  en  uno  central  como  en  otros  sistemas.  y  a  vcccs  en  platafennat 
hctcroglncas.  con  nivelex  y  caractcrfxiicas  dc  scguhdad  nuy  diferentes.  y  cca 
posibilidad  dc  transfcrcncia  dc  archivos  o  dc  captacidn  y  cx.xtfackta  dc  datos  que 
poeden  perder  sus  protcccioncs  al  paw  dc  una  plat  a  forma  a  oir» 


En  cl  caso  del  contcnido  dc  archivos  y  bases  dc  datos.  las  etiquetas  debtor* 
acompoAarics  incluso  en  extracciooes  parciaks  que  variaran  d:  plataforma.  lo  que  ca 
la  actualidad  no  csti  plcnamcntc  conscguido  en  todos  los  casos  cuando  en  las  redes 
inters  ienen  plataformas  y  sistemas  que  no  sc  entienden  btea  entre  si  en  cuanio  i 
scguhdad;  aunque  en  cstc  momento  hay  mtentos  dc  cicrta  normal  i/acido  y  vas 
aparecicndo  hciramicntas  que  van  permitiendo  la  pntcccidn  en  entomot 
heterogdneos. 


Taxnhsen  poeden  usarsc  bases  dc  datos  distribuidas,  lo  que  puede  aAadr 
compkjidad  al  si  sterna  y  a  los  comrolcs  a  establcccr. 

La  mformacwVn  del  nivcl  mis  alto  de  clasificacidn  nomulmente  sc  entre  gari  (o 
dejari  m)  bajo  comrolcs  estnetos.  incluso  anotando  qu<  sc  entregd  o  ensefli.  a 
quidnes.  cuindo.  y  con  la  aulon/acidn  dc  qutdn  si  estc  cxlrcmoes  nccesario. 
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En  la  auditor!*.  si  entra  cn  k»  objclivos,  «  analirari  la  desroccidn  dc  b 
■afcrmacidn  cbuficada:  lipo  dc  destructor*.  lamaAo  dc  bs  parlfculas,  y  especial  mcntc 
diode  vc  almaccna  hasia  vu  destruccidn,  quc  vucle  set  un  pumo  ddbil 

I  n  cl  caso  de  sopones  magnetic  os  dsios  habrln  dc  set  destmidos. 
dcsnugnciirado*  dc  forma  adccuada.  o  sornciidos  a  vanav  grabaciooes  oferentes  antes 
de  vu  nueva  ultliracido. 

En  una  ocasido  hemos  rreomendado  cn  una  auditort*  quc  Us  copias  quc 
tecibieran  distimos  directives  no  fucran  iddnticav  -sin  afcctar  a  vu  contcnido 
vuvuncul-  a  fin  de  podcr  detector  cl  ongen  de  fugas  o  copias.  quc  al  parcccr  sc 
tovpcvhaba  quc  vc  vcnian  produckndo. 

En  cl  caso  dc  vcr  neccsario  el  transpottc  dc  dales  clasificados  debc  realirarvc  por 
cuuJcv  segurov  y  si  cs  en  voportc  magndiico  o  por  iransmisidn  deben  ir  cifradov. 
adetniv  dc  b  poubthdad  dc  traasportar  soporics  inagndticuv  en  cnmpanimcnlos 
coradov  y  quc  la  Have  no  cstd  cn  podcr  dc  los  transport  i«uv  o  CMtf  protejida. 


17.10.  AUDITORIA  DE  LA  SEGURIDAD  EN 
COMUNICACIONES  Y  REDES 

En  lav  polfiicas  dc  b  entidad  debe  rccooocersc  quc  los  sistemas.  redes  y  mertsajes 
nwnuttdos  y  proccsados  son  propiedad  dc  la  cnitdad  y  no  deben  usirsc  para  otros 
fnes  no  auiorirados.  por  seguridad  y  por  productividad.  Ul  set  salvo  emcrgcncias 
concrctas  si  asf  sc  ha  c  specific  ado.  y  mis  bten  para  comunkaciones  por  tor. 

En  funci6n  dc  la  clauficactdn  dc  lov  daios  vc  habrd  previsto  cl  mo  dc  cifrado, 
ptnli  auditor!*  sc  cvaluarl  o  sc  Ikgari  a  rccomcndar.  y  sc  rcvivarln  la  gcncracion, 
baguud.  comunicacidn.  almaccnamicnto  y  vigencia  de  bs  cbvcs.  cspecialmcntc  dc 
lumacseras. 


Cada  usuano  sdlo  debe  recibir  cn  cl  mend  lo  quc  pueda  sclcccionar  rcalmcmc 

Los  aiuarios  tendrin  restneodn  dc  acccsos  segdn  dominion,  dniermente  podrin 
cargir  los  programas  auiorirados.  y  sdlo  podiin  variar  las  conf  guraciones  y 
aatponerMcv  lot  tdcnicos  auiorirados 

Debet  in  exist  ir  proiccc  tones  dc  disiinio  lipo,  y  tamo  preventivas  come  dc 
daccctdn.  ante  posiblcv  acccsos  sobre  lodo  extemov.  asf  como  frentc  a  virus  por 
dfcreeaes  vbs  dc  infeccidn.  incluyendo  cl  conco  clcctrdmco. 
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Sc  reviuria  especial  incnic  las  redes  ctiando  exist  an  rcpcrcusiones  econtaiai 
porque  sc  irate  de  iransfcrencia  dc  fondos  o  comercio  electrdnko. 

Alguno*  dc  las  pantos  complcmenurios  a  revisar  son: 

•  Tipos  de  redes  >■  conexioncs. 

•  Informacidn  y  pcograma*  transmitidos.  y  uso  de  cifrado. 

•  Tipos  de  transacciones. 

•  Tipos  de  terminaks  y  protcccsoncv  ffsica*.  Idgica*.  Ilanada  de  rcloovo. 

•  Protection  dc  transmwiooe*  poe  fax  si  el  cootenido  esti  clasiticado.  si  bin  a 
prefenble  evitar  el  uso  dc  estc  medio  cn  esc  easo 

•  Protcccido  dc  consersacione*  de  vox  cn  caso  ncccsano 

•  T rantfcrcncia  dc  archives  y  controks  cxistenies. 

•  Consideration  especial  respccto  a  las  conexioncs  extemas  a  (ravfe  de 
pasaiclas  (gaiewwt  y  encammadores  (rcmtenl,  as'  como  qu<  tcacroks 
existen. 

•  Ante  la  generali/acidn  de  modatidadcs  avanradas  d:  proecso.  emptexas  i 
prcocupor  y  a  scr  objeto  de  auditoria  aspectos  como: 

Internet  c  Intranet:  scparacidn  de  dominiot  c  imjlantacidn  de  medidu 
especiales,  como  nonnas  y  cortafucgo*  (firewall),  y  no  sdlo  en  relacidn  coo  h 
seguridad  sino  por  accesos  no  justificados  por  la  funcidn  descmpcAada.  com 
a  pig  mas  dc  ocio  o  erdticas.  por  lo  que  pueden  suponcr  para  la  produclividad 


El  correo  elect  ronieo,  tanto  por  privacidad  (PGP.  Prety  Good  Privacy  se  esti 
u*«ndo  mucho)  y  para  eviua  vines  como  para  que  cl  uso  del  ootreo  «• 
adccuado  y  refendo  a  la  propia  funcidn.  y  no  ulili/adopara  fines  particuUres. 
como  se  ha  intentado  hater  en  mochas  cntidadcs  y  no  siempre  con  dxito.  toe 
otros  rccursot  anicnores  como  tekfono.  fax.  foeocopndora*.  o  el  uso  de  lot 
proptos  cocnputadorcs. 


Otro  de  los  aspectos  que  preocupan  cs  la  protect- ion  dr  program**,  v  unto  b 
prcs-encion  del  uso  no  autori/ado  dc  programas  proptrdad  de  la  cniidad  o  de 
k»  que  tengan  licenci a  de  uso.  como  la  carga  o  transmit!  dn  de  otros  de  losqot 
no  se  tenga  Ikencia  o  simple mente  para  los  que  no  cxrila  autori/aodn  imema 
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Tambidn  preocupa  el  control  tobrr  lax  paginas  »fb  quicn  puede 
modificarto  y  desdc  ddndc.  porquc  sc  ban  dado  cm  dcxagrwlablcs  cn  alguna 
entidad  que  impact  an  muy  ncgatisamcntc  en  su  imagcn.  y  no  tamo  por  los  qoc 
lo  vcn  directamentc.  sino  por  la  publtctdad  que  en  lot  medio*  sc  puede  dar  a 
cxtox  hcchos.  Final mentc  prcocupon  tamhien  lox  ncsgos  que  paedan  cxislir  cn 
cl  comerdo  rlcclronko,  aunqoe  se  extin  einpe/ando  a  itili/ar  utlemn 
fublcs  como  SET  (Secure  Electronic  Transaction). 

En  relacidn  con  todo  cllo.  y  para  facilitar  el  control  y  la  auditorfa.  ex  neccsario 
que  queden  registrados  k»  acccsos  rcalirados  a  rede*  cxicriotcs  y  protegidos 
csos  regtstros.  asi  como  la  fecha  y  bora  y  el  uxuano  o  sistena.  y  el  lipo  de 
informucidn  iranxfcnda  y  en  qud  senttdo. 

17.11.  AUDITORIA  DE  LA  CONTINUIDAD  DE  LAS 
OPERACIONES 

E\  uno  de  kts  punlot  que  nunca  se  deherfan  pasar  por  alto  en  tna  auditorfa  de 
Kguridad.  por  las  cortsccucnctas  que  puede  letter  el  no  baberlo  revsado  o  haberlo 
beebo  sin  la  xuficiente  profundidad:  no  hasu  con  ver  un  manual  cuyo  titulo  sea  Plan 
dr  Contingencia  o  denomination  similar,  sino  que  cs  imprescmd  ble  conocer  si 
ftmeionaria  con  las  garantias  nccesarias  y  cubrirfa  los  rcqucnmtcnios  en  un  t tempo 
inferior  al  fijado  y.  con  una  duraetdn  sufioentc. 

Hablamos  de  Plan  de  Contingencia  o  Plan  de  Continuidad  (rente  a  oiras 
dcnomiitacioncs  que  en  principto  descartanto*  como  RccupcractOn  de  Desastres  o  Plan 
de  De  vast  res  (si  nos  porece  adccuada  Plan  de  RccupcraciOn  ante  Dcastrcs.  pero  las 
nodencias  a  prever  son  tambkn  de  ouos  niveles). 

En  la  audtlorla  es  neccsano  revisnr  si  cxixtc  tal  plan,  si  ts  complcto  y 
setualirado.  si  kts  diferentes  peocesos.  Areas  y  plataformas.  o  bien  si  existen  planes 
dfnentes  segtin  entomos,  cvahiar  en  tedo  ease  su  idoneidad.  as!  corns  los  resultados 
de  las  pruebas  que  se  hayan  rcali/ado.  y  si  pemuic  garanti/ar  raronaHemente  que  en 
caso  necesano.  y  a  travdx  de  los  medios  alternative's.  proptos  o  conralados.  podria 
permitir  la  reanudaetdn  de  las  opcnciones  cn  un  uempo  infenor  al  fijado  por  los 
mpomuMex  del  uso  de  las  aplicacioncs.  que  a  voces  son  tambifn  los  propietanos  de 
Us  mismas  pero  podrfan  no  serlo. 

Si  las  revisiones  no  nos  aportan  garantias  suficientcs  debemcn  cugerir  pruebas 
enmpientenurias  o  hacerlo  constar  en  el  tnfomte.  incluso  mdicarlo  er  cl  a  pan  ado  dc 
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Es  ncx.'exano  xenficar  quc  la  xoluc ido  adoptada  cx  adccunda  centre  propto.  ifuc, 
comporUdo  o  no...  y  quc  cxixte  cl  oportuno  conn ato  xi  hay  participation  de  am 
cntidades  aunquc  xean  del  mixmo  grupo  o  sector  No  cal  dc  mix  revisar  xi  ea  H  caw 
dc  una  inodcncia  quc  afcctara  a  vanax  entidadex  gcogrlficamentc  prOumu  k 
solution  previxu  darta  cl  Kfvicio  prcviao  a  la  audiuda 

Un  punto  fundamental  cn  la  rtxiviOn  ex  la  exixtencia  dc  copaax  actuali/ada*  de 
lox  recurxos  xitalex  cn  un  lugar  dixtantc  y  cn  coodKionex  adeexiadax  unto  ffoaca 
como  dc  prottccidn  cn  cxianto  a  accexox.  entre  dichox  rccurxox  cxtarln:  haves  de  djiet 
y  archivox.  programax  (mejor  xi  cxixten  tamhkn  cn  xerxidn  fuente).  ICL  (Job  Control 
Language)  o  cl  cquivalcntc  cn  cada  xixiema.  la  documentation  ncccxana.  fonrolanci 
criticox  y  conxunuMcx  o  garantfax  dc  quc  xc  xervirtan  a  (tempo-,  document**)*, 
manualcx  kcntcox.  dirccctoocx  y  tekfooox.  lox  rccurxox  dc  comunicaciow 
neccxanox:  dalox  y  xo/.  y  cualcxquicra  ouox  requeridox  para  funexonar  con  g araadix 

Ouox  axpectox  quc  hemox  cncontrado  como  dcliilidadex  a  xcccx  xon  quc  cutu 
copta  del  propio  plan  (ucra  dc  lax  inxtalaooncx  pntnariax.  quc  cad  prcviao  e;«uur 
determmado  xoftxxarc  cn  un  cquipo  altcmauvo.  con  identification  cxpcctik-a  dderear 
dc  la  del  cquipo  pnmano  quc  ex  cl  ituoalmcnic  a ul on/ado.  y  quc  xc  lenga  cop* 
acccxiblc  del  coMrato.  tamo  para  demourar  algo  al  proxcodor  como  para  venficar  In 
Idrminox  pactadox. 

Dentro  de  la  critic idad  dc  lax  aplkacioncx  xc  poedc  dixiinguir  ctxtrc  lax  mfe 
trine  ax.  con  impact  o  muy  alio  cn  cl  rxegooo  y  un  altcmativa.  otrax  con  altcmatisax.  e 
incluxo  difcrcnciando  a  con  coxtcx  ah  ox  o  inferiorev  y  aqucllax  cuya  intemipofa.  il 
me nox  cn  un  nOmcro  dc  diax  fijado.  no  ticne  caxi  inodcncia.  y  habri  quc  dixtingwr  qst 
tipox  dc  conxccucnciax  c  tmpacio.  cn  funcidn  del  tcclor  y  entidad.  y  dia  del  mex  cn  quc 
ocumcra  cl  mcidcntc.  y  ul  \xt  la  bora  cn  algunox  caxox 

France  a  lo  quc  xenfa  sicndo  la  prcxixtOn  de  contingcnoax  cn  cUox  aftox  paxadox, 
ccntrlndoxc  xOto  cn  cl  boa  como  gran  xervidor.  hoy  cn  dia.  con  la  clara  icndeocii  * 
rntornox  dixtnbuidnx.  ex  ncccxano  conxidcrar  tambkn  Caox  cn  la  previxiOn  dc  Ut 
cooungcnctax. 

Ex  ncccxano  cn  la  auditoria  conoccr  lax  caracicrfxtKax  del  ccntro  o  xixtetm 
altcmauvo.  y  debe  rcxixarxe  xi  la  capacidad  dc  proeexo.  la  dc  oomunicaddn  y  U  de 
almaccnamicnto  del  xtxrcma  altcmauvo  xon  xuficxenlcx.  axi  como  lax  medidas  de 
proeccoOn 

Debe  exixtir  un  manual  compldo  y  cxhauaivo  rclacionado  con  la  contmuidad  cn 
el  quc  xc  coMcmpkn  diferentex  tipox  dc  incidcnciax  y  a  qud  nivcl  xc  puede  dcodu  quc 
xc  train  de  una  contingencia  y  dc  qik  tipo. 
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A  pe*ar  ile  U  importance  del  tema  y  de  lav  coovecuencia*  ncfaclac  que  vc  puedcn 
dcnvar  *i  no  ve  han  prcvivto  lav  contingcncia*.  cv  un  tema  no  cxigido  pot  ley  en 
EspaAa.  vi  bten  parecc  vobrndamcntc  juvtificada  vu  cxivtencia  para  defender  lov 
intcrrvev  de  lov  accionivtav,  clientcv.  proveedorev,  cmplcadoc.  o  t  mdadano*  en  general 
tegdn  qut  tipo  de  entidad  vea.  en  algtln  caso  vc  nov  ha  pregunlado  al  incluirlo  en  el 
mforme  como  uni  rccomcndacidn.  ,,pero  qt*  me  obliga  a  lencr  el  plan?  Afortunada 
mcmc  ev  un  punio  ficil  de  expire ar  y  que  la  Alta  Direction  vuelc  entender  >  aceptar. 


17.12.  FUENTES  DE  LA  AUDITORiA 

I  ji  fuentev  cMardn  relacionudav  con  lov  objetivo*.  y  entre  ellav  poeden  evtar 

•  Politica*.  evUndarcv.  norma*  y  procedimientov 

•  Plane*  de  veguridad. 

•  Contratov.  pdliea*  de  vegurov. 

•  Orgamgrama  y  description  de  funcioocs. 

•  Document*:  de  aplicacione*. 

•  Description  de  divpovitivos  relackmadov  con  la  veguridad. 

•  Manuale*  tccnicm  de  vivtemav  operativov  o  de  herramieniav. 

•  Invcntarios:  de  voportes.  de  aplieacionev. 

•  Topologfa  dc  redev. 

•  Plano*  de  instalacioncv 

•  Registrov:  de  problcmav  de  cambiov.  de  visits*.  de  acoevov  Idgico* 
product  dov. 

•  Entre v  ista\  a  diferentev  nivelcv. 

•  Arehivot. 

•  Progranuc. 

•  la  observation:  no  figura  en  lov  tnanualev  pern  la  coovideramov  iinportante. 

•  Actav  de  reumone*  relacionadav. 

•  Documentation  dc  plane*  de  conlinuidad  y  vu*  pmebav. 

•  Informcv  dc  suimnixtradorev  o  consultore*. 

A  mciuido  lov  cllemev  nov  olrcccn  a  lov  a  minor  cs  extemov  lov  inlorme*  de  lov 
ittcroo*  o  de  otrov  extemov  antenorev.  vi  bien  novotrov  en  concrete  prefen mov 
Hih/arlo*  cuando  ya  evti  en  vl'av  el  borrador  dc  nuevtro  mforme  para  no  vemov 
nfluidov- 


17.13.  EL  PERFIL  DEL  AUDITOR 

El  peril  I  que  ve  rcquicre  para  llevar  a  cabo  audiioriav  de  vivtcmas  de  information 
•o  evti  regulado.  pero  cv  evidentc  que  von  ncccvariav  una  formation  >  vobtc  todo  una 
nprriencia  acordcx  con  la  functen.  c  incluvo  con  lav  ireav  a  auditar:  veguridad  fivica. 
inkmav  operativov  concrete**,  determuvadov  gevtorev  de  base*  de  datov  o  plataformav. 
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c  induce  knguaje*  m  hubicra  que  llcgar  a  rcsisar  programas.  adcrnis  de  te 
imprescmdiblcs  en  cl  perfil  ocras  caractcristicas  o  circunstancuc  comuccs.  coca 
independence  rcspccto  a  lo*  auditados,  madurc/.  capactdad  dc  anilm*  y  de  tinies*,! 
interns  no  mcramcntc  ccoodmico. 


En  cl  scno  dc  la  citada  ISACA  cxiste  un  ccrtificado  rclacionado:  CISA  (OemSed  j 
Information  System*  Auditor). 

A  la  bora  dc  crcar  la  funcidn  dc  auditoria  inlcma  de  vistcnu*  dc  mlormacsfa  ■ 
sucle  planlcar  u  sc  forma  a  auditores  ya  expenos  cn  otras  area*  auditoria  dc  cvntai 
normaJmcntc.  o  si  sc  forma  a  tdcnicos  del  area  dc  mformAlica.  o  si  sc  ccotraa  i 
auditorc*  dc  otra  entidad.  ya  expenmentados.  cada  opcidn  ticnc  sus  tentajas  c 
meonvenientes.  enue  los  que  pueden  cstar 

•  Los  auditorcs  dc  otras  Areas  serin  expenos  en  tdcnicax  generates  cone 
entre vista,  y  cn  rrdactar  informes,  pens  desconocerAn  las  pamculandades  y 
riesgos  dc  las  iccnotogfas  dc  la  mformacidn. 


Los  inforroitico*  y  expenos  cn  Areas  rclaoooadas  no  serin  expenos  n 
tfcnicas  generates  y  cn  control  (salso  que  prosengan  de  admintsiracifo  dr 
seguridad).  si  bien  puede  scr  mis  fieri  que  aprendan  cstos  aspect  os  qat 
enscAar  — especial mcnlc  nuntener  al  dia-  a  un  auditor  general  rcspccto  a 
noscdadcs  tecnolAgicas. 


Quien  senga  de  otra  entidad  puede  no  terser  ni  unos  inconvcmcnlcs  m  otrovc 
incluso  puede  conoccr  el  sector;  y  hay  una  ventaja  mis:  no  eonoce  a  In 
personas  que  lendri  que  entrevistar.  lo  cual  es  positivo.  pero  no  siempre  it 
quicrcn  incorporar  recursos  externos. 


Otro  aspccto  es  ddndr  ubkar  la  functors:  encontramos  con  frecuencia  que  eni 
dentro  del  Area  de  Informinca  o  Sistemas  de  Informacidn  o  Tecnotogfas:  en  definitiva 
dentro  del  Area  audrtada  por  lo  que  no  ticnc  la  independence  ncccsaria.  Ks  peefenble 
que  cstd  dentro  dc  la  auditoria  general  o  que  sea  una  funcidn  staff  dc  algiiti  dircctivo 
por  encima  de  las  Areas  objeto  dc  auditoria 


Sc  incluye  un  cuadro  (sense  la  figura  17.3)  con  algunas  rccomcndactooes  a 
cuanto  a  paulas  dc  conduce. 
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inlrtet  del  climle 

Itecommdar 

ONigar.  foe/ar .  mv«ua 

far  competent  *•  la  nuima  i  tegundad) 

Atunur  encargot  pan  lot  qor  no  curt 

Biva*  tut  informet  en  tenficacioort  y  1  Hatarlo*  *ti  tupouoonr* 

oidmeiat 

Vmficar  que  tc  rtaldan  pmodicamrnie  j  Krtrtar  la  tegundad  ~iba  a  dla~  o 

nrgot  o  hien  et  alien  lot  1  Mbnanittnrla  (ton  funooaet  dr  orrmi 

Ccnoctr  prrfilet  dr  utuanut  Reali/ar  gctiiOo  pcrfilet  dr  utumot 

Canotrr  cnamot  y  pricticat  tobre  Octtadn/augitacidn  cootnueftat  o  coaocerla* 

««r>teAat 

Vmficar  qoe  lat  aplKacioor*  te  dctarrollan  > 
'nantimra  tegtln  norntit  y  te  incnporaa 
'aalrotrt 

1  Kcalirar  funoonet  dr  anil  nit  o  grttaonar 
|  proyretot 

1  Ret  nar  codificacidn  dr  prognmat  (tegundad 
|i calidad)  y  lat  pnxhit  real iradav  o  hten 

('odificar  programat 

[rthui  UdocummlatHin  uplicattooet.  1  Kralirar  la  documrntaodn 

- - — - - - 

!  Vmficar  uue  oguen  kit  prixedimientot  F.tcnbir  proerdinumntt 

1  RnpontaMi/ane  drl  comenido  dr  tut 

|  Acrpar  prrtaonrt  dr  tut  jrfet  o  t  lieniet  y  qur 

inkur  nrtgot  e  mfonnr* 

( laranri/ar  qor  no  te  puedan  realirardiahrr 
rraiirado  drlMot.  (raudrt  o  errorrt 

|$aumtar  lot  informet  con  paprtr*  dr  tntuyo 

|  En/ar/arte  m  dttcuuonet  dr  dafrrrnciat  dr 

I  Fatal  >1  dla  rn  cuanto  a  at  oncct.  netgtn. 

_ 

Auditar  con  tfcanav  mCtodot  o 
leeommdactonrt  ctnolrtot  | 

Figum  17.).  Poutat  dr  conducia  dr  loi  auditorrt 


17.14.  TtCNICAS,  METOOOS  Y  HERRAM1ENTAS 

En  cada  proccto  dr  audnoria  «  fij an  lot  objciit  ot.  imbito  >  profundidad.  k>  quc 
■»«  pan  la  planificacidn  y  para  la  contideracadn  de  la*  fuen'.c*.  segiin  lot  objetivo*. 
■I  como  de  la*  Kcnicas.  meiodot  y  hcmmienus  miv  adccuadov  El  facto*  soipreta 
pacde  llrgar  a  ter  nccewio  cn  la*  revitione*.  tcgiin  lo  que  te  quiera  vcnficar. 

Co*iK>  mdtodot  y  tfenien  podemot  ooatiderar  lot  cuetUooanov  lat  cncrcvitta.*, 
bobtrnacidn.  lot  muc*lreo*.  lat  CAAT  (Computer  Aided  Auditing  Technique*),  lat 
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utilidades  y  programs*,  lo*  paquctc*  c*pecificov  la*  p  rue  ha*,  la  umulacxVi  en  poraids 
coo  djrtov  reale*  y  programs*  de  auditor  o  la  rcvi*idn  de  programs*. 


17.15.  CONSIDERACIONES  RESPECTO  AL  INFORME 

En  <1  *e  harin  con*ur  k*%  antecedenle*  y  lot  objetivo*.  para  que  quicnc*  lean  d 
informe  puedan  'enficar  que  ha  habado  una  comumcacidn  adccuada.  a*i  cocno  qat 
metodoiogia  de  evakucidn  de  ne*go*  y  e*tandarc*  *e  ha  utilizado,  y  una  brc*t 
description  de  lo*  entorno*  rcvi*ados  para  que  *e  pueda  vcnficar  que  *e  han  rrvnalo 
toda*  la*  plataforma*  y  *i*icma*  objeto  de  la  audiiona 

Debc  mcluir*c  un  rc*umen  para  la  DimcMa  en  tCriruno*  no  Ibcnico* 

Depcndiendo  de  lo*  ca*o*  «eri  prefen  Me  agrupar  avpccto*  Mmilarc*:  *cgundad 
fbka.  vepundad  kSgica  o  bten  cla*iflcar  k>*  punto*  por  centre*  o  rede*.  c*pecia)mertt 
en  enttdade*  grande*  *>  exiuen  re*pon*able*  difercntc*:  en  ca*o  de  duda  serf  un  punto 
a  comentar  previamemc  con  quiene*  van  a  recibtr  el  informe.  ya  que  con  frccucnda 
prefieren  entregar.  a  cada  uno  la  pane  que  mi*  le  afccta.  **i  como  ptamficar  y 
controlar  area  por  Area  o  par  deparumento*  la  impIantaciOn  de  medida*. 

En  cada  punto  que  *e  incluya  debe  cxpiicanc  por  que  c*  un  incumplinuento  o 
una  dchilidad.  a*i  como  alguna  recomendacidn.  a  vece*  abort  ando  vario*  punto* 

El  informe  ha  de  *er  nece*anamente  re*i*ado  por  lo*  auditado*.  a*f  como 
di*cutido  *i  e*  nccevano  ante*  de  emitir  el  definitive. 

En  mucho*  ca*o*.  bien  en  el  propio  informe  o  en  otro  documento.  *e  rceogen  la* 
re*puc*ta*  de  lo*  auditado*.  sobre  todo  cuando  la  audiloria  e*  interna. 

I -a  entidad  decide  que  accione*  tomar  a  partir  del  informe.  y  en  el  cavo  de  kn 
auditore*  intemo*  e*to*  suclcn  barer  tambiln  un  teguimicnio  de  la*  implantacionc* 

Lo*  auditado*  umpn  hu'ean  un  informe  lo  ml*  bciwguu  (uniUc.  iiucmia*  que 
lo*  auditore*  no*  proponemo*  lie  gar  a  un  informe  veraz  y  util.  e*to*  difcrente*  punto* 
de  vista  a  vece*  crean  conflict o*  en  el  proceso  de  auditorfa  y  cn  la  discusidn  del 
informe. 

En  alguno*  ca*o*  los  informe*  *e  han  uvado  para  comporar  la  segundad  de 
diferente*  dclegaoooc*.  *ucur*ale*.  o  empreva*  de  un  mttmo  grupo.  o  bien  filmic*  de 
una  multinational,  pero  *i  k>*  entomo*  no  son  homogdneo*  la*  comporacione*  pueden 
no  *er  muy  tltile*  y  lie  gar  a  di*torvionar. 
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Coo  frecueocia  quiencr  han  pcdido  U  auditorta  quieren  conoccr  la  califlcaoon 
respecto  a  teguridad.  adcmdt  de  ditponcr  de  un  informe  complemenlano  o  rctumen 
«  icrnunor  no  t&nkot:  quieren  saber  m  cttin  aprohadot  cn  teguridad.  art  coeno  lot 
netgos  mis  detucadot. 

Es  necetano.  por  unto,  difercneiar  puntot  muy  graves.  graven,  memorables...  u 
otra  clatificactdn.  cn  definibta  etuMecer  algunas  metrical  dr  teguridad  v  clatificar 
Vh  puniot  segiin  mi  importance  y  prioridad.  que  puedrn  icr  rcconride  radar  por  la 
Direccita  dc  la  cntidad  a  la  bora  dc  implanur  tat  medidat.  y  cn  algunot  ca««  «c 
puede  llcgar  a  entregar  una  litla  provisional  dc  proycctos  dc  implantaci6n 

Rn  ocasionet.  cn  cl  ca»o  de  aoditorta  externa,  lor  clieniet  que  no  conoccn  lor 
Katie*,  habituate*  dc  la  audilorta  tobreentiendcn  que  una  vci  firsali/ada  foa  lot 
aiditorct  daremot  una  arirtcncu  mir  propu  dc  cootuhorev.  y  que  incloro  lie  rare  mor 
a  caho  iraplaniac  toner,  redacuremot  normas.  o  que  al  mcnor  cn  lot  informer 
npecificareinot  Us  roluctoner:  nombre  de  la  herrarmenta  que  tefuer/a  U  tegundad  cn 
hi  entomo  por  ejemplo.  cuando  a  menudo  exto  requiere  un  ettudio  que  tc  tale  dc  lot 
fauiet  e  incline  de  U  independcncu  propiot  de  U  audilorta  Por  ello.  cr  importantc 
qae  k  dclimitcn  lat  retpontabilidadet  y  lot  product  or  a  entregar  que  ton  objeto  de 
uni  auditoria  externa  cn  el  contrato  o  propuou. 

Algunot  de  lot  puntot  Importanto  que  pueden  llcgar  a  cstar  cn  lor  informer 
wpecto  a  teguridad.  y  tin  que.  re  pueda  generali/ar  porque  dependerl  de  U  cntidad. 
lector  y  circunstanc  tar.  pueden  ter  la  autcocia  de: 

•  Copias  de  activot  erttk-os  cn  cuaoto  a  contmuidad.  cn  lugar  diferente  y 
distante. 

•  C'umplmucmo  dc  la  legitlacifa  apltcable  art  come  de  las  political  y  normas 
interna*:  cn  el  caro  dc  la  legislacidn  me  lure  pueden  producirtc  taociooes.  y  cn 
el  caro  concrete  dc  U  LOPD  U  mmovili/acidu  dc  archivos  com o  hemos 
tndicado. 


Difercnciacidn  de  entomot  dc  dcsarrollo  y  produce  iiVi.  cn  cuanto  a  datos  y 
programat.  y  control  de  acceror. 

Involucracidn  de  la  Alu  Dtreccten.  preferentementc  a  tratCc  de  algiin  comite. 
Motivation  de  los  empleados  y  directivot  en  rclacidn  con  U  teguridad. 
Evaluacidn  pcnodica  y  adecuada  de  n ergot 
Segregacidn  de  functonet.  art  como  una  organ iraci6o  adecuada. 
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tv  frrcucntc  lamhtcn  que  quicncv  Kin  pedsdo  U  auditor)*  quicran  cooxer 
dcspois  en  quC  medidj  sc  han  rcsuello  I  os  proMcmas.  *  purtir  dc  Us  dceioosn 
nxnadas.  a  travcv  de  I  os  informcs  de  k»  audit  ores  intemos  o  dc  quicncs  unplaatee  la 

medtdav 

Otto  dcsco  ffcvucnic  es  quercr  coooccr  la  e»  olucton  dc  la  situation  cn  d  tic-npo. 
ya  quo  a  puree  en  nucsos  nesgos.  sc  rcproducen  otrox.  y  algunos  pueden  van*  ft 
dasificacidn  cn  funetdn  del  camtno  dc  plauloemas  u  ottos 

Pan  clk>  es  util  mostrar  cn  algOn  informc  -pnncipalmentc  los  audit  errs  intern*-.  | 
algunos  cuadros  que  muc siren  la  evolution.  quo  cn  algunos  casos  ha  ttdo  lilil  pm  ! 
demostrar  la  rcnLatxIxUd  dc  una  (urxVn  cotno  admimtiractdn  de  la  segundad  o 
auditona  interna  o  para  evaluar  U  utilidad  dc  un  plan  dc  segundad 

17.16.  CONTRATACljN  DE  AUDITORfA  EXTERNA 

Incluimos  cl  cpfgrafc  por que  conuderamos  su  utilidad  cn  funckto  de  la 
preguntas  que  a  veers  sc  nos  haccn  y  dc  los  casos  que  hemos  llcgado  a  conoccr.  si  to 
sc  siguc  un  proceso  de  selcccidn  adecuado  de  audiurcs  extemos  no  se  puedea 
garur.il/jr  los  rcsultados  y  sc  puede  llcgar  al  dcscncanto  al  revibir  cl  informc.  ki  qm 
puede  superset  no  llegar  a  conoccr  las  posiNlidadcs  reales  de  la  auditorfa  dc  sistcnw 
dc  informacidn.  sohre  lodo  en  un  tema  tan  deltcado  cotno  la  segundad.  o  bten  teto 
una  visidn  pohre  y  desfigurada.  cotno  les  ocurrc  a  algunos  a  partir  dc  expenencul 
atfpicas. 


Algunas  consider aciooes  pueden  ser 

•  La  entidad  auditors  ha  dc  set  indcpcndscntc  dc  la  auditada  cn  cl  caso  dc  «oa 
auditorfa  externa:  si  esti  ofreoendo  otros  sersioos  a  la  sea.  o  pica* 
ofrcccrlos  cn  cl  future,  o  incluso  a  veces  si  ha  sido  proscedon  cn  el  pasado.  i 
menu  Jo  puede  encontrar  dificuliadcs  intemas  para  entregar  un  informc  vent  j 
comptao. 

En  ocas  torses  los  propiov  auditorrs  lo  han  llcgado  a  com  unicar.  por  dticx 

•  Ui  personas  que  vayan  a  reali/ar  el  trahajo  han  dc  ser  indcpcndicmcs  1 
compel  en  les.  segtin  el  ofcjctivo:  sisicmas  operatives  o  plalaformas  concretiv 
por  lo  que  no  esti  dc  mis  cxaminar  sus  pcrftlcs  e  incluso  mantener  alguns 
entrevivu.  sin  dcscarur  preguntar  por  sorpresa  cn  una  rcunidn  qud  aspect* 
revitarian  >  qud  tdcnscas  usarian  cn  cl  entomo  que  sc  les  desen  ba 

•  No  es  tan  cotmin  pedir  refercnciav  dc  otros  trahayos  similares  como  cn  cl  caso 
dc  consultaria  pero  sc  puede  haccr.  aunque  pan  cllo  los  auditores  debsene 
pedir  permiso  presto  a  sus  clicntes 
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La  audiloria  ha  de  encargarsc  a  un  nivel  vuftcicntc.  noemalrrentc  Direcodn 
General  o  Consejero  IMegado.  y  a  este  nivel  rccibir  los  informe*.  porque  si 
no  a  veccs  no  sc  cucnla  con  el  respatdo  tuficienic  en  las  revisumes.  >  en  todo 
cam)  puede  que  si  el  informe  no  e*  favorable  quede  ctcondido.  y  sc  ha  perdido 
el  dinero  y  a  seccv  la  oportunidad. 

Finalmenie.  a  lilulo  dc  cunosidad.  en  una  ocavion  se  nos  pididque  no  figurara 
la  polabra  audiloria  en  cl  informe  final,  porque  habia  aversion  por  el  ilrmino. 
por  axociarxc  en  la  enlidad  a  lav  auditore*  con  los  verdugov:  no  es  un  caso 
uivlado  y  cv  impropio. 

Rccordcmos  que  puede  ser  nccesano  dar  o  mostrar  a  los  audncrcs  todo  lo  que 
ncccMtcn  para  realt/ar  tu  trahajo.  pero  nada  mix.  c  inclusc  lo  que  se  lex 
mucMre  o  a  lo  que  sc  lex  permita  accedcr  puede  ser  con  revnccioocv  sdlo 
parte  dc  una  hose  dc  daios.  cpigrafcs  de  algunas  acux.  a  simplemcntc 
mostrarlc*  documentacidn.  que  no  pueden  copiar  o  no  puedm  vacar  de  las 
tnsulaciones  del  clienic:  se  puede  exigir  una  cliusula  de  coniidencialidad.  y 
raramenie  se  lex  deben  mostrar  datox  reales  confidcncialrx  dc  cltcmcs. 
proveedores.  empleados  u  otros.  aunque  se  haga  en  la  prictica  ton  frccuencia. 

En  case  de  duda  o  de  conflicto  puede  dccidir  un  comill  de  audiloria  o  cl 
propto  de  Dircccidn. 


17.17.  RELACI6N  OE  AUDITORIA  CON  ADMINISTRAClbN  DE 
SEGURIDAD 

Memos  encontrado  en  mix  de  una  ocasrdn  que  la  misma  persona  tenia  las 
fane  tones;  de  administracidn  dc  seguridad  y  audiloria  linformiiica)  ntema  lo  cual 
peedc  porcccr  bten  a  efcctos  de  product i\>da<l.  pero  no  es  admisibie  respecio  a 
•cgregacidn  de  funciones.  siendo  prcfcnMc.  si  la  enlidad  no  juttifica  q»e  dos  personas 
caraplan  en  cxclusiva  ambax  funciones,  que  sc  cubra  v6lo  una.  o  bien  que  la  persona 
rtabce  olras  funciones  complemcntanas  pero  compatiblcv  como  podrian  ser  algunas 
itUronadas  con  calidad 

En  entidades  grandcs  la  funcidn  consu  ademix  de  corresponsalei  funcionakx  o 
Mondmicoa 

La  funcidn  de  Administncidn  de  Seguridad  en  parte  scri  inter  ocutora  en  los 
pocesos  de  audiloria  de  seguridad.  si  bien  los  auditor  es  no  podemos  perder  nucsira 
eecesaria  indcpcndcncia.  ya  que  debemos  evaluar  el  desempefto  de  la  funcidn  de 
•teinistraesdn  de  seguridad.  dexde  si  xus  funciones  son  adccuadas  y  csiin  respaldadas 
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per  algOn  documento  aprobado  a  un  nivel  suficiente.  hasta  el  cumplimiento  de  oa 
funoones  y  si  no  hay  conflicto  con  otras. 

La  funcidn  de  auditoria  dc  sistemas  de  inlormacidn  y  la  de  adnunistracita  di 
segundad  poeden  ter  coinplcmen  tanas.  si  bten  sin  perder  tu  iidcpcndcncia:  m  teude 
funcionc*  qoe  contnhuycn  a  una  mayor  y  mejor  protcccidn.  y  resultan  como  aaflq 
protect  ores,  como  sc  muestra  en  la  figura  17.4. 


Figura  17.4.  Func tones  de  auditoria  de  SI  y  auditoria  de  seiuridad  como  "anitloi 
protec  lores  " 

Ambas  funoones  han  dc  mantener  contact  os  pendekeos  y  prestarse  cierti 
asiuencia  tdcruca. 

Nonnalmcntc  Administration  de  segundad  hahri  de  inplancar  las  rccomtndi- 
cionct  de  I  os  audiiores  una  see  fijadas  las  pnorkladei  por  la  Chrecodn  de  la  entidad. 

Administration  de  Segundad  puede  depender  del  ire  a  de  Sistemas  de  Inform* 
cidn.  sobre  todo  si  existe  Auditoria  dc  SI  interna,  pero  si  prede  esiar  en  peligro  m 
desempeto  qui/i  sea  prefenble  que  tenja  otra  dependence  superior,  o  al  mcnos  uni 
dependence  funciooal  de  ircas  usuanas  como  puede  ser  de  LitccckSo  de  Operacionct 
o  similar,  la  cxistencia  de  un  comitd  de  Segundad  de  la  Informacidn.  o  bien  de  uni 
funcidn  de  Segundad  Corporaliva  puede  resulur  util. 
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Rn  ocatiooet  lot  admtniuradores  tic  segundad  ticnen  casi  cxclusit  amente  uiu 
fancidn  important  pero  que  sdlo  forma  una  pane  <le  hi  comet  ido:  la  admmistracidn 
del  pjqueic  dc  control  de  accesos:  RAC'F.  Top  Secret,  u  otros.  coo  frecucncia  por 
tuber  sxlo  tCenicot  dc  sistemas.  y  cn  ocasiones  porque  siguen  sidndolo.  lo  que 
representa  una  gran  sulnerabilidad  y  no  siempre  b*cn  aceptada  cuando  la  hcmos 
rtcogido  en  lot  in  formes  dc  auditorfa. 

Por  oua  parte,  si  la  persona  que  oficialmente  adnunistra  la  segundad  linicamentc 
incocpora  usuarios  y  asigna  contrascflas  iniciales  en  uno  de  los  sistemas.  general  mente 
tl  mis  imponantc.  se  (rata  de  una  labor  nccesaru  pero  en  absoluto  la  linica.  dindose  a 
voces  una  carencia  de  objetivos  de  segundad.  de  mode  los.  dc  planes  de  segundad.  as! 
coeno  dc  segumuento  de  transgresronc* 

Otra  situacidn  que  se  socle  producir  respecto  al  paquete  de  control  dc  accents,  y  a 
vtccs  coexistiendo  con  la  seftaluda.  es  la  que  rndicibamot  toincidencia  de  los  roles  de 
admimstraodn  de  segundad  y  auditorfa  interna  en  la  mitma  persona,  relativamcntc 
comprcnsible  porque  son  papcles  que  hay  que  asignar  cn  los  sistemas  o  paqurtev 
Memos  conoctdo  situaciooes  de  cierta  tension  cuando  los  administradorcs  ban  temdo 
que  crear  usuarios  con  perfil  dc  auditor  -por  cycmplo  cuando  Cstos  asumen  sus 
tecione*  respecto  al  paquctc-  >  quitanc  ese  perfil  a  si  mtsmos. 

Ambas  functoncs  tun  de  tenet  una  dependence  jcrirquica  adccuada.  una 
descnpcMVn  dc  functoncs  iddnea.  y  que  las  personas  cucntcn  con  formacidn  y 
ctperiencia  acotdcs  y  cstCn  motivadas;  cuando  a  alguicn  se  Ic  asigna  una  de  estas 
fncioncs  para  que  no  dcsaparerca  del  irej  o  incluso  de  la  entidad.  como 
consccueocia  de  reorganiucioncs  o  absorcioncs.  diffcilmcnte  va  a  cumplir  bien  su 
pipel.  hnalmcntc.  que  ambas  funciones.  sin  perder  de  vista  to  comctido.  quieran 
coiahorar  para  conseguir  un  boen  nisei  de  protcceidn. 

Volwendo  bresemente  a  la  formaetdn  y  ctperiencia.  hemos  cncontrado 
mlnerabiltdadcs  de  distmta  indole  en  individuos  con  un  conocimicnto  l^cnico  de  los 
ulemas  muy  prof  undo,  y  probablcmcnte  ma  yores  vulncrabilidades  cuando  sc  da  cl 
cavo  contxario:  aquellos  que  administran  o  revisan  sin  saber  quC  haccn.  edmo  lo  hacen. 
u  sfcsSo  cn  cl  rendimiento,  o  w  mu  KsawnbiiuiKk  s>  1 1|||" kk  iC>  icspccut  a  la 
legundad  impactan  grasemente  en  la  productividad  o  crcan  situaciooes  de  verdadero 
Mofaeo  o  de  autdntica  burocracia. 


17.18.  CONCLUSIONES 

Aunquc  atin  no  se  ha  producido  cn  EspaAa  cl  despegue  de  la  auditorfa  ni  de  la 
Kjurtdad  que  esperamos  desde  hace  art  os.  lo  cicno  es  que  se  han  dado  avanecs 
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significative*.  y  cabe  esperar  que  ugj  esta  tcndenoa  y  lav  enlidadcs  sayan  cn'.tn 
diendo  cada  vc/  mas  La  utiltdad  de  la  proteccidn  dc  la  informacidn  y  de  la  auditoria 

Tamtoen  es  cterto  que  han  surgido  bavlantes  cntidades  suminittradora*  qiae  haa 
incluido  la  segundad  y  la  auditoria  cnlrc  sus  povibles  scrvicios,  o  simplcmente  ha 
aceptado  trabayo*.  cn  umbos  cases  sin  disponci  de  expcrtos.  lo  que  con  frecuencia  la 
supoesto  un  dcscncanlo  cn  la  entidad  audiiada.  y  a  voces  resullados  penosos.  que  so 
hcncfician  ni  a  la  protoxide  ni  a  la  auditoria  misma. 

Por  otra  pane,  y  asf  lo  hemos  mdic  ado  en  cl  capflulo.  los  auditado*  finales,  y  mil 
Ion  responsables  de  las  ire**  que  sus  colaboradorcs.  viguen  cn  mucho*  caxn  un 
eniendcr  la  cscncia  y  uiilidad  de  la  auditoria.  y  su  obsesKlo  es  evitarla  y.  cuando  yj  « 
inevitable,  a  voces  eludirla  o  al  me  nos  no  resultar  entrevistados:  como  que  el  pruceto 
no  fucra  con  olios  (es  del  responsablc  hacia  ahoyo.  pero  escluwva.  como  nos  diyo  in 
Duccio*  dc  Sistemas  dc  Int'oemacidn  en  una  ocasidn),  o  (al  vc/  para  poder  alegar  qx 
cllos  no  han  facilnado  la  informacwVi  que  figura  en  el  infocme  final. 

Hn  otra*  ocasionet  han  preparando  a  los  entrevistado*  respecto  a  que  deben  door 
y  quC  no  cn  cuanlo  a  nesgos  o  controlcs  cxistente*.  e  inctuso  han  hecho  que  lodas  In 
entrevistav  sc  mantuvieran  en  su  despacho  v  en  su  presencta,  como  nos  pasd  en  urn 
auditoria  de  seguridad  ciertamente  dclicada.  por  lo  que  los  auditive*  a  veces  hemos  <fc 
ter  algo  psicrilogos  sin  for  mac  ion  para  elk>  e  mterpretar  lo  que  vc  nos  dice,  lo  que  x 
nos  quicrc  tlecir.  y  disiinguir  la  verxidn  oficial  de  la  rcalidad.  mterpretar  silencx*  y 
miradas.  entrevittar  a  v  arias  personas  y  llcgar  a  evidencias  por  distintos  medios. 

Por  otra  parte,  hemos  podido  venficar  que  la  auditoria.  su  filosofia.  asl  como  m 
ken  teas  y  meiodos.  inter  esan  cad*  ve/  mis  a  los  responsables  de  Sislemu  de 
InformaoOn.  a  voces  para  cooocer  crime  pueden  evaluar  los  audnores  sus  irras.  pero  t 
menudo  saber  cuiles  pueden  ser  los  nesgos  y  que  controlcs  implantar. 

lav  que  ellos  mismos  pueden  rcali/ar  no  se  puede  considerar  una  auditoria.  mb 
por  falu  de  independence  que  por  descooocimiento  de  las  tecnicav.  pero  si  psxdei 
constituir  unos  autodtagndsticos  muy  utiles,  especialmente  cuando  se  reali/an  coo 
ayuda  de  listas  o  ticrraimenus  adaptadas  o  adaptable*  at  entomo. 

Los  cambios  cn  la  tec  nolog  ia  inlluycn  en  que  auditar  y  en  edmo  auditar  Ea 
efecto.  cn  los  illtimos  aftos  han  ido  aparecicndo  areas  nuesas.  como  las  mcncionadat 
dc  comercio  electrriroco.  clientcservidor.  orientacidn  a  objetos.  entomes 
muliiplataforma.  teletrabajo  y  oulumretng.  .ulemas  de  otros  sistemas  operatises  o 
nuevas  vers  woes  de  los  mismos.  lo  que  vicne  a  supooer  novedad  en  los  nesgos  y  a 
las  medidas  y  la  necesidad  imperiosa  por  pane  de  los  audnores  de  cstar  muy  al  um» 
como  otros  ie<mcos  relaciooados  con  las  tccnologias  de  la  information  tenemos  U 
servidumbre  -o  el  placer  y  la  oportunkbd-  de  cstar  permanentemente  infoemados 
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Aunquc  las  implanlacioacs  dc  la  seguridad  van  siendo  mis  so  fistic  atlas  y 
Ucgando  a  ircas  o  aspcctos  cast  dcsconocidos  hace  ados,  csto  no  implies  que  eadn 
plcnamcnte  rcsucllo*  kit  mix  bisicos:  encontramos  hastantes  delicieocitis  en  comrolcs 
fliicos.  no  unto  porque  no  c.sisun  cuanto  poc  las  brcchas  o  dcscuidos  que  sc  pueden 
eaooninr. 

Mis  prcocupantc  aiin  cs  la  inexidcncia  dc  controlcs  hisicov  como  cn  rclacidn 
con  la  scgrcgacidn  dc  funciono.  separation  dc  ententes  o  cast  auscncia  dc  normativa. 

la  auditoria  cn  sislcmas  dc  infomucidn  no  csli  sulkicnicmcntc  implantada  cn  la 
mayvxfa  dc  las  cntidadcs  cvpa/tolas.  si  bicn  supondria  una  mayor  garantia  dc  quo  las 
cosas  sc  haccn  bicn  y  como  la  cniidad  qu:crc  cn  general  hay  comcidencia  entre  am  bos 
pantos.  Pucdc  scr  lambidn  una  profendn  con  future  cuando  la  auditoria  dcspcgoc. 

Como  funcidn  a  porta  al  auditor  un  conocinuento  pnvilcgiado  del  irca  dc 
Ststemas  dc  Informacidn  con  una  pcrspccliva  muy  amplia. 

La  forma  dc  rcaluar  cl  trabayo  va  vanando  y  sc  csli  llcgando  a  aplicar  cl  control 
porciccpcido  y  la  tclcauditorfa 

En  cuanto  a  nuctas  areas,  surge  cl  augc  del  coroercio  rlcctrdnico.  cl  control  dc 
piginas  WEB:  la  reviudn  dc  quicn  auton/a.  varia  y  controla  k»  contcnidov  cn  las 
alidades  por  seguridad  y  productividad.  y  cn  los  bog  arcs,  aunquc  csto  sc  sale  dc  la 
auditoria  y  queda  cn  cl  control  para  evitar  que  los  mcnorcs  acccdan  a  contenidos  con 
nokacia  o  pomografla. 

Por  lo  que  sc  ha  incluido  cn  cl  capftulo  sc  presenta  dc  forma  breve,  como 
ccrrcspondc  a  obra  general  que  abarca  los  diferentes  aspcctos  dc  la  auditoria.  por  lo 
fit  hemos  resumido  el  contensdo  del  material  dc  cursos  propios  tanto  sobre  Auditoria 
dc  U  Seguridad  como  sobre  diferentes  aspcctos  dc  la  propu  Seguridad. 


17.19.  LECTURAS  RECOMENDADAS 

LDP  Auditing  AUERBACH.  1997. 

Data  Security  Management.  AUERBACH.  1997 

Datapro  Reports  on  Information  Security.  DATAPRO.  McGraw-Hill.  1997. 

BACA  <  Information  Systems  Audit  and  Control  Association/Foundation  i  COBff: 
Control  Objective*  for  Information  and  Related  Technology.  Abril.  19%. 

1*1  Las  ires  primer  as  ofcras  son  dc  actuali/acidn  permanente 
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17.20.  CUESTIONES  DE  REPASO 

1 .  La  scguridad  dc  la  informactta  cn  Expafta:  nituacidr  £«  conocen  reallocate 
lox  ricigtw?  ftnpeciiw. 

2.  HI  pcrfil  del  auditor  cn  tcguridad  de  liucmas  de  mloonacidn. 

3..  IlMindarcs  para  la  audiioria  dc  la  tcgundad 

4.  La  comunieacidn  a  audiladox  y  el  factor  storpresa  cn  juditorfas  dc  tcfwtdad 

3.  ,Qud  dcbc  haccr  cl  auditor  %i  te  Ic  prdc  quc  onuta  o  *  arte  ulgiin  punto  to  ta 
informe? 

6.  Auditorfa  dc  la  tcguhdad  cn  lax  prdximat  decadav  micvck  rieegot,  icoiKai 
y  herranuentav 

7.  Kquilibrio  entre  xcg undad.  c alidad  y  productividad. 

8.  iQut  cx  mfa  critico:  daios.  programs,  pcrvmax.  comumcaciooa, 
inxtalacionex...? 

9.  Relaciono  entre  Admimvtraeibn  de  Segurxtad  y  Auditorfa  dc  Sixtcmu  dr 
Infomuacidn  intema  y  externa 

10.  Cdkulo  dc  la  rcnubilidad  dc  la  auditoria  dc  xeguridad. 
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AliDITORfA  DE  REDES 


Jos J  Ignacio  Boito  Pfrtz-  Hot  undo 

18.1.  TERMINOLOGY  DE  REDES.  MODELO  OSI 

Par j  podcr  aodiur  redes,  lo  phmcro  y  fundamenul  cs  uulizar  el  mumo 
vocabulano  (mis  bien  jerga)  que  Icn  cxpertos  eti  comunicacioaet  que  Us  nuncjan 
Debulo  a  U  consume  evolixVw  en  esic  campo.  un  primer  punio  de  refcrencu  e*  podcr 
refermc  a  un  modclo  comtinmemc  accpuble.  EJ  model o  comun  de  referenda, 
adopudo  por  ISO  ( International  Standards  Organization)  *e  denomma  Modclo  OSI 
lOptn  Systems  Intenonectioa).  y  cornu  de  cUas  siete  capas: 
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La  potcncia  del  mode  to  OSI  provienc  de  quc  cada  capo  no  ticne  quc  preocupme 
dc  quo‘  o  lo  quo  hag  an  las  capas  supcnores  m  las  infcnorcs:  cada  capa  se  comuztca 
con  su  igual  cn  el  interlocutor.  con  un  protocolo  dc  comumcaciones  cspec(fico.  Eaot 
cada  pur  dc  capa  N  y  capa  N- 1  csli  pcrfcctamcnte  dclinido  el  yaso  de  la  informant, 
quc  se  produce  drntro  dc  la  misma  maquina.  con  mdtodos  clisicos  de  programacite 
cn  local. 

Para  estaMecer  una  comunicacidn.  la  informacidn  atrasioa  desccndcntcmmte  b  , 
pila  formada  por  las  stcic  capas.  atravicsa  el  modio  ffsico  y  awicnde  a  travel  dc  la* 
vide  capas  cn  la  pila  dc  destine  Por  Unlo.  cada  capa  tienc  umm  mdtodos  prcfijtdot 
para  comunicarsc  con  las  mmcdiatamcntc  inferior  y  superior. 

I*  esta  mancra.  %c  afslan  k>s  prolocolos  quc  se  utili/an  en  unas  capas  con  lot 
protocols  quc  sc  utiliian  cn  oiras.  Por  cycmplo.  es  posiblc  tnnsmitir  trifico  TOM? 
(capas  tuperiortx).  a  (raves  dc  Ethernet  o  Token- Ring  mdisiiniamenic  (capas 
infcnorcs ).  gracias  a  esta  indcpcndencia  enue  capas. 

lisle  mdlodo  de  especificar  a  quC  capas  correspond;  cada  pro(ocoto  de 
comunicacioncs  rcsulia  muy  util  a  cfcctos  didicticos.  pocs  rlyidamcmc  se  time  uni 
visidn  del  akaiKC  y  utilidad  del  protocolo  o  elcmento  de  comuracacioncs  en  cuestido. 

Como  regia  mnemdnica  para  recordar  flcilmcntc  el  ordende  las  side  capas  OSI. 
suelc  utili/arsc  la  frase  "Formemos  Esu  Red  y  Todos  Serrmos  Promo  Amigos* 
(Ffsico.  Enlace.  Red.  Transpose.  Scsidn.  Presentacidn  y  Aplkaodn). 

En  los  niveles  infcnorcs.  habitualmcnte  hasta  el  nivel  ires,  rs  dondc  se  definen  las 
redes  LAN  (Local  Area  Ndwork>.  MAN  ( Metropolitan  Area  Network)  y  WAN  (Wide 
Area  Network)  Las  funcionaltdadcs  de  estos  ires  tipos  dr  redes  son  snmlires. 
variando  fundamenulmente  la  dislancia  quc  son  capaccs  dc  valvar  entre  cl  cmisor  y  d 
receptor  (LAN:  demro  sic  un  cdificio.  MAN:  dentro  dc  'in  cunpus  o  *ona  urhana, 
WAN:  cualqoicr  dislancia).  siendo  la  vclocidad  invcrsamcntc  proporciorul  a  la 
dislancia. 

la  red  LAN  mis  cxtcndxla.  Ethernet,  csli  kasada  cn  qie  cada  cmisor  emit, 
cuando  dcsca.  una  trama  al  mcslio  ffsico.  sabtendo  quc  todos  los  dcslmaurios  coin 
pcrmancnicmcntc  cn  cscucha.  Justo  antes  de  enviar.  cl  cmisor  ie  pone  a  la  escixha.  y 
vi  no  hay  trdfico.  proccsle  directamente  al  envfo.  Si  al  escichar  dctccu  quc  c*io 
cmisor  csli  enviando.  espera  un  ticnipo  alcalorio  antes  de  volvcrsc  a  poncr  a  U 
cscucha.  Scgtin  crece  el  trifico.  vc  incrcmcnto  la  probabilidad  dc  quc  dos  cnusorcs 
hayan  cscuchado  quc  cl  medio  csli  libre  y  sc  pongan  a  transmits  sunulUncamcnte. 
Ln  esc  caso.  se  hahri  producidos  una  colisidn  y  las  tramas  mviadas  se  destruirin 
mutuamente.  creindose  una  alteracidn  quc  es  percitwdo  fiucancntc  como  colivko  de 
tramav.  Cada  cmisor  precede  cmonces  a  dar  b  trama  como  no  ens  iada  y  a  esperar  un 
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bempo  alcalooo  ante*  de  ponersc  dc  nuevo  a  cscuchar.  exactamentc  igual  que  cuando 
cl  medio  cstaha  ocupado.  I -as  tecnologfas  dc  Ethernet  (10  Megabits  poc  segundo  ■ 
Mbps).  Fast  Ethernet  ( 100  Mbps)  y  Giga  Ethernet  <  1 .000  Mbps)  se  basan  cn  cl  mismo 
pnncipto.  incrcmcnundo  succtivamcMc  la  vclocidad  dc  transnusidn  La  Kihcrnd  fuc 
normal uada  por  cl  noeicamencano  Institute  of  Electric  and  Electronic  Engineers  con 
cl  nombre  IEEE  802.3. 

El  cable  que  fiucamenic  conccta  a  cquipot  Ethernet  sc  dcnumiaa  segrocnio.  E n 
*«  de  tender  un  dnico  cable  que  rccorra  todo*  lo»  cquipos  del  segmento.  sc  socle 
lender  un  cable  por  cquipo  y  junta/  todos  los  cables  cn  un  conccntrado-  pasivo  ("lau") 
o  activo  ("hub").  Cada  segmento  admitc  un  niimero  miximo  de  cquipos.  por  lo  que 
los  segmento*  han  dc  ser  concctados  entre  s<  inediante  disposilivos  qie  hagun  que  la 
informacidn  pase  del  scgmcnio  origen  a)  segmento  de  destine,  pero  confmando  cn 
cada  segmento  la  tnformactdn  que  no  deba  salir  de  <1  y  ad  eviur  anegar  los  segmentos 
adyaccnte*. 

La  I.AN  Token-Ring,  desarrollada  por  IBM.  csti  normali/ada  cono  IEEE  802.3. 
time  vcloctdadcs  de  4  y  16  Mbps  y  una  mejor  utili/acidn  del  canal  cuando  se 
•errmenu  cl  trifico.  La  l-DDI  es  ocra  LAN.  Isasada  en  transmivnSn  a  leases  de  Libras 
dftocas.  a  vckvidades  de  ccntenas  dc  Mbps,  que  x  socle  utili/ai  para  invrconccur 
segmenios  de  LAN. 

Para  redes  WAN.  csti  muy  extcndido  cl  X.23.  Se  havj  cn  fragmentar  la 
nfomuodn  en  puquetes.  habrtualinente  de  1 28  caractcrcs.  Estos  paquetes  se  entregan 
a  un  transportista  habnualmentc  piiblico  que  se  encarga  de  ir  enviiadolo*  saltando 
entre  disersos  nodos  intermedins  hacia  el  destino  En  cada  nodo  se  lies  a  una  cucnta 
con  el  nodo  inmediato  (colateral),  para  saber  que  cada  paquete  se  ha  recibido 
contctimentc.  o  si  hubo  (alio,  proccder  a  su  retransmisidn.  Para  \u  innsmisibn.  cada 
paquctc  recibe  una  cabeccra  y  una  cola,  y  asf  queda  consertida  en  una  trama  con 
control  de  triftco  >  de  errorcs  entre  cada  parcya  coluteral  de  nodos.  Mcdianic  cste 
laho  dc  nodo  a  nodo  se  puede  cstablecer  trifico  a  cualquier  distancu  a  selocidadcs 
Blpicas  dc  decenas  de  Kbps. 

Cl  fiainc-RcU;  <  i  UmukiiK  lo  mismo  que  cl  X-2S.  pens.  aprorechaixlo  que  L> 

fubtlidad  entre  nodos  es  muy  alta.  sdlo  sc  comprucbu  que  los  pacuctes  han  sido 
transportados  un  errorcs  cuando  son  rccibtdos  en  el  dcstinaiano;  esio  ahorra  multitud 
de  comprohacMmcs  cn  los  nodos  miermedios.  incrcmcnundo  la  velscidad  hasu  cl 
ordena  de  los  cienios  de  Kbps. 

El  ATM  (Asv achroous  Transfer  Modc/inodo  dc  Iransferencia  as(ncrono)  utili/a 
«  concept o  dc  alguna  manera  similar  a  Frame  Relay,  con  tramav  dr  $3  caractcrcs 
(einco  de  cabeccra  y  48  de  infoemacidn  a  transport ar).  que  se  conmutan  en  nodos 
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evpecialmente  diveAadov,  con  lOgica  pricticamentc  cableada.  a  muy  alia  vcloodad. 
dcvde  los  cien  Mbps 


18.2.  VULNERABILIDAOES  EN  REDES 

Todiw  lov  uucnui  dc  comumcacidn.  dcvde  el  pwMo  de  vivta  dc  auditoris, 
prcvcntan  cn  general  una  proMcmitica  coral n:  U  tnfomucidn  tranvita  per  lugam 
ffMcameme  alcjadov  de  lav  pervoeiav  rrvponvabiev  F.«o  prccuponc  un  compromtvo  cn 
la  veguridad.  ya  que  no  cxivtcn  procedimienlov  fivicov  para  garanli/ar  la  mviolabtlidad 
dc  la  informacidn. 

En  lav  redev  dc  comunkacioncv.  por  cauvav  proptav  dc  la  iccnologia.  puedeo 
producirvc  b&vicamcnte  Irrv  tipov  dc  modeociav 

I*  Alteracido  de  bilv.  Por  error  cn  k»  medioc  dc  tranvmiviOn.  una  trama  puede 
vufnr  vanacidn  cn  pane  dc  vu  conlcnido.  la  forma  mix  habitual  dc  dctcctat. 
y  cocTcgir  en  *u  cavo.  evtc  tipo  de  incidences.  ev  vufijar  la  trama  coo  cn 
Cddigo  dc  Redundance  Cklrco  (CRC)  que  dctecte  cuatquicr  error  y  permits 
conegir  errorev  que  afcclcn  havta  unov  pocov  bits  cn  cl  mejor  de  lov  cacos 

2*  Auvcncia  dc  tramas.  Por  error  cn  cl  medio,  o  en  algun  nodo.  o 
sobrecarga.  alguna  trama  puede  dcvaparccer  cn  el  camino  del  crmvo 
receptor.  Sc  socle  atajar  evtc  nevgo  dando  un  mlmero  dc  secucncia  a 
tramas. 

3*  Altcrocidn  dc  Sccucncia.  EJ  orden  cn  cl  que  sc  cnvfan  y  vc  recibcn  las 
tramas  no  coincide.  Unas  tramas  han  adelantado  a  otrav  En  cl  receptor, 
mediante  el  ntimero  de  sccucncta.  se  roconstniye  el  orden  original. 

Por  cauvav  dolosav  y  temendo  cn  cuettta  que  ev  ffvrcamentc  potable  interceptar  la 

informacidn.  lov  ues  mayorev  rievgos  a  atajar  son: 

I*  Indagacidn.  Un  menvaje  puede  ver  IckJo  por  un  lercero.  obientendo  Is 
informacidn  que  conlcnga 

2*  Suptantacidn.  Un  lercero  puede  introducir  un  menvaje  espurso  que  el 
receptor  croc  prov  en >ente  del  enuvor  legftimo. 

3*  Modificacidn.  Un  lercero  puede  altcrar  el  contenido  dc  un  mensaje 

Para  evtc  tipo  de  actuacionev  dokwav.  La  tinica  medida  pricticamente  efectiv a  m 
redev  MAN  y  WAN  (cuando  la  informacidn  vale  del  edificio)  ev  la  criptografta.  Eo 


rU 
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min  LAN  ruelcri  utili/arre  mar  hrcn  mcdidar  de  control  dc  acccro  jI  cdificio  y  al 
cablcado.  ya  quc  la  criptografia  er  muy  oocrora  todarU  para  rcdet  locales. 

l>ada  la  prolifer  aci6n  de  cquipor  quc  precivan  coenumcacion  dr  iklo»  dencro  dc 
knedifiCKM.  e.t  muy  habitual  plantcarre  rirtcmar  dc  cablcado  integral  cn  v«  dc  tender 
■  cable  en  cada  ocartdn.  Edo  es  pricticamcnte  un  rcquirito  cn  cdificios  con  cieno 
relumen  de  usuarior. 

Lor  uUcmi'  de  cabkado  ruelen  dividtrse  trpln  ru  imbrto.  En  cada  planta  o 
nxu  re  tienden  cable r  derde  un  armarkr  dirinburdor  a  cada  uno  de  k*r  potenciales 
paertor.  Erie  cablcado  se  denomina  habitual  mcnie  de  “  planta"  Erl  or  armanor  coin 
cuncctador  a  mi  re/,  entre  c(  y  con  lar  ralar  de  computadorer.  denommindore  a  estas 
ccnerioncr  cablcado  "troncal".  Derde  lar  ralar  de  computadorer  ptnen  Ur  linear 
Ucu  lor  tranrportirur  de  dator  (Telefdnicar  o  PTTr).  raliendo  lor  caMcr  at  cr tenor 
del  edificio  en  lo  quc  re  denomina  cablcado  de  ~  ruta" 

B  cablcado  de  planta  ruele  ref  dc  cobre.  por  lo  que  er  prupenro  a  crcuchar 
rpincha/or”)  quc  ptieden  no  dejar  rartro.  El  cablcado  troncal  y  cl  dc  mu  cada  vex 
ntr  frccuentcmentc  re  tienden  mediantc  fibres  dpticar.  que  ion  may  dificilcs  dc 
ntcrceptar.  dcbido  a  que  no  prorocan  radiacidn  electromagnetic  a  y  a  qae  la  conexidn 
Rrica  a  una  fibre  dptica  requtere  una  tccnologU  dclicada  y  compleja. 

En  el  propio  puerto  de  trabajo  puede  haber  pcligror.  como  grahar'retrenrmitir  la 
inugen  que  re  re  en  U  partial  la.  tcclador  que  guardan  memoru  del  orden  cn  que  re 
hm  pulrado  lar  leclas.  o  directamente  que  lar  contrereAar  ertCn  ereritaren  papelcr  a  la 
vnu 


Dentro  de  lar  redes  locales,  el  mayor  peligro  es  que  alguien  inrtale  una  “ercucha" 
oo  auton/ada.  Al  viajar  en  claro  la  mformacidn  dentro  de  U  red  local,  es 
mprescindihlc  tenet  una  organi/acidn  que  cootrole  ertnetamente  In  cquipor  de 
ercucha.  bren  rean  dstos  flskw  (“sniffer")  o  Idgnor  (“treceadom").  Ambos 
ncuchadorev.  flsicos  y  Idgicov  ron  de  uro  habitual  dentro  de  cualquier  inrtalacidn  de 
oeno  tamaAo.  Por  tanlo.  er  fundamental  que  esc  uro  legitimo  erte  oxitroUdo  y  no 
dtrenga  en  actividad  espuria 

El  tier  go  de  tntcrccptar  un  canal  de  cooumicacioner.  y  podcr  ertraer  de  el  U 
ufonnacido.  ticnc  unor  efector  rtUlivamente  similarer  a  lor  de  poder  entrar.  rin 
control,  en  el  rirlema  de  almaccnamiento  del  cocnputador. 

Hay  un  punto  cspecialmentc  crfuco  en  lor  canaler  de  comumcaciorer  que  son  Ur 
contrareJVkT  de  uruano  Mientrar  que  en  el  urtema  de  almaccnamiento  Us  contraseftar 
Helen  guardarre  cifradar,  es  inhabitual  quc  las  terminates  u  computadorer  personates 
Km  capaccs  de  cifrer  U  contrarcfla  cuando  sc  envu  al  cocnputador  central  o  al 
rervidor. 
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Poe  tanto.  algutcn  quc  mterveptc  la  information  pucdc  haccrse  coo  Us  a 
clan*  Adcmis.  dado  quc  las  carilulas  imcialcs  dondc  sc  tcclca  la  conUMdail 
sacmprc  las  mismav  sc  faciliu  U  labor  dc  los  ageotcs  dc  intcrccplactta.  roo'l 
proporcionan  un  patron  del  paquctc  dc  infarmaciOn  dondc  siaja  la  concrascAa  a 
■Mcrccpur. 


18.3.  PROTOCOLOS  DE  ALTO  NIVEL 


Como  protocol*  dc  alto  nisei,  los  mis  import  antes  po»  orden  dc  apanota  ca  h 
mdustna  son:  SNA.  OSI.  Netbios.  IPX  y  TCP/IP 


System  Network  Architecture.  Fuc  disertado  por  IBM  a  partir  dc  k»  artos  setota, 
al  principle  con  una  red  cunctamcntc  yerarqui/ado.  y  luego  pasando  a  una  ettraan 
mis  distribuida.  fundamcntalmcntc  con  cl  npo  dc  sesnSn  denominado  LU  6  2 

FJ  SNA  sc  cncsicntra  fundamentalmcntc  cn  los  computadorcs  centrales  IBM: 
dondc  sigue  go/ando  dc  un  cxtraordinano  vigor,  cspcculmcntc  pan  conuaciafej 
con  terminates  no  intcligcntcs  dc  tipo  3270.  y  para  scsioocs  cstabiccidas 
computadorcs  centrales  y  componcntcs  software  IBM 


OSI 

Fuc  disertado  por  cl  antiguo  C'omitC  Consultivo  International  dc  TeMfoatf 
TcUgrafos  -CCTTT-.  actual  me  me  Urartn  Intcmacional  dc  Tdccomunkaciones  -FTV 
bisKamente  compucsto  por  las  compart ias  lelcfOntca*  nacionalcs  (llamadat  PIT)  I 
disc  Aaron  todas  las  capas.  desde  los  mcdios  flsicos  hasta  las  apltcactonet  am 
trasferenoa  dc  archivos  o  terminal  virtual  Dondc  ha  tenido  Cxito  es  cn  el 
dc  Ked  X.25  y  cn  cl  corrco  ckxuonkv  X .400 


Net  Mon 

Bate  prottvoSo  fuc  cl  quc  sc  propuso.  fundamentalmcntc  por  Microtek  | 
comumcar  entre  si  computadorcs  personates  cn  redes  locales.  E*  una  extrtnka  * 
(“net")  del  “Bask  Input/Output  System"  del  sistema  operative  DOS.  Etd  I 
onentado  a  U  utilinciOn  cn  IAN.  siendo  baslantc  igil  y  efcctivo. 
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IPX 


ts  el  protocolo  propictano  de  Novell  quc.  al  alcanzar  en  vu  momcnto  una 
pouofto  dc  prcdomimo  en  el  %i*tema  operative  en  red.  ha  goaado  de  gran  difusidn.  Su 
nene  cvti  ligada  a  la  de  cte  lahnc  ante 


TCP/IP 

(Transfer  Control  Proto*  ol/lntemet  Protocol).  Di*crtado  onginilmentc  en  lot 
do*  tetenia.  para  sofcrcvivir  intluvo  a  ataque*  nuclearr*  contra  o*  EE.UU..  e 
■puliado  dc*dc  lot  imbito*  acaddmicov  la  enormc  vcrxatilidad  de  cue  protocolo  y 
■  accptaodn  gcnerali/ada  le  ha  hccho  el  paradigma  de  protocolo  abcrto,  uendo  la 
base  de  interconcxidn  de  rede*  que  forman  la  Internet  E*  cl  protxolo  que  e«A 
■poatlndo*.  por  derccho  propio.  como  gran  unificador  de  lode  la*  rede*  dc 
MBMMCaCIOOCV 


Lamenuhicmeme.  no  cxitte  una  indcpendcncia  de  facto  entre  la*  aplicaoooc*  y 
kt  protocolo*  de  aho  nivel.  E*  todavia  poco  habitual  que  lo*  clixico*  ptograma*  de 
eoaputador  central  IBM  *e  u«cn  con  protocolo  diumto  de  SNA  Por  *u  parte  el 
TCPtlP  po*ce  uiu  gran  canudad  de  aplicacionn.  ampliamente  difundtda*.  pero  que  no 
ptfdra  funcionar  coo  otro*  protocolo*. 

Por  ejcmplo.  la  tranxmiudn  de  archivo*  KIP  I  File  Transfer  Protocol),  el  corrco 
doctrdnico  SMTP  i Simple  Mail  Transfer  Protocol)  o  el  terminal  virtud  Telnet  han  dc 
ccmr  preci*amente  *obre  una  "pi la"  de  protocolo  TCP/IP  Sc  cvablecc  ad  una 
Rlroalimeniacidn  dondc  la*  utilidade*  refuer/an  a]  protocolo  TCP/IP  quc  *c  vuclve 
cadi  vei  mi*  airactivo  para  que  lo*  dcsarTolladorrx  e*cnhan  nucva*  utilidade*  a  <1 
cnentala*.  AdcmK  precicamente  por  mi  aperture.  el  TCP/IP  c*  el  prcfcndo  por 
orgamuao*  rcguladorv*  y  grande*  etnpreta*.  poe*  permiicn  cvitar,  a  *cr  abtcrto.  la 
dependencu  dc  ningOn  fabncante  en  concrcto 

t'na  voluodn  que  CMi  temendo  dxito  e*  "encap*ular"  un  proto.olo  *obre  otro. 
Art  el  Netbios  pucdc  *cr  tran*portado  *obre  TCP/IP;  la  capa  inferior.  Ncthcui.  pucde 
ter  untituida  por  TCP/IP.  quedando  el  Neibto*  “cncapiulado"  *obre  TCP/IP.  Sin 
ahbargOw  han  de  tencrxc  muy  en  cuenta  la*  vulnerabilidadc*  qie  *e  crcan  al 
cac^nular  En  cl  ca*o  de  Netbios  *obre  TCP/IP  ton  vulncrabilidade*  teriav  pue* 
bcibcan  el  lomar  control  rcmoto  de  recurxot  que  *e  pensd  quc  «Ho  <  accedcrfan  en 
beat  confiando.  al  meno*  en  pane,  en  la  proteccido  fisica 

Al  ser  lo*  tittcma*  de  comunicacione*.  proccso*  "*in  hivtoria".  donde  no  *c 
Wmaccnan  pcrmancntcmentc  datoi*  de  mngdn  tipo.  lo*  u*tema*  de  recuperacidn  *e  vcn 
opecialmente  benefit  lado*  por  e*ta  caractcriftica  Si  una  *e*idn  cac  una  vea  que  *e 
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vuelw  a  cstahlcccr  la  scsidn.  cl  incidcnic  queda  solucioosdo  Bs  rexponsahilidad  de  U  I 
aptkacidn  volvcr  a  reinidalizar  u  la  intcmipcidn  sc  produjo  cn  mi  tad  de  uni  undid  I 
dc  proceso. 

Por  cjcmplo.  si  la  intemipcidn  dc  la  scsidn  sc  ha  pridocido  a  miiad  dc  na 
transference  de  archive.  serf  tnisidn  dc  la  aplicacidn.  cuaolo  la  scsidn  sc  reasude,  . 
determinur  si  vuclvc  a  corocn/ar  la  transmisidn  del  archive  desde  cl  principio  o  a  I 
I  rcutili/a  la  pane  que  ya  sc  ha  transmitido. 

Si  cs  una  persona  quicti  ha  sufrido  cl  mcidcnte.  cuanlo  sc  reanude  la  sesfe 
deherf  volvcr  a  identilicaise  con  su  nomine  dc  usuario  y  ontraseAa.  comprotuado 
hasta  quf  punto  la  aplicacion  cn  la  que  csiaha  operando  rccojid  los  Ohimos  daiot  que 
inirodujcroo. 

Csta  rextriccidn  fundamental,  dc  que  los  sistcinas  dc  comumcaciones  m 
almaccnan  datos.  pcrmite  una  mayor  facilidad  a  la  hora  dc  duplicar  equipomtcaa 
Dado  que  una  vez  ccrrada  la  scsidn  no  queda  ninguna  infoimacidn  a  retener  (salvo  ; 
obsiamentc  csladivtscas  y  pislas  dc  auditorial,  la  xctidn.  al  rcanudarsc.  puede  utiloarb 
misma  o  difereme  ruta.  Si  cxisicn  diverxos  nodos  y  diverxos  enlaces  entre  ellos.  b  ' 
cafda  dc  un  nodo  s6lo  ha  de  significar  la  mtcmipcidn  dc  las  scsioncs  que  p-e  d 
transiten.  que  sc  podrfn  reinicior  a  t rases  dc  los  resumes  sodov  Poe  elks,  a  ua 
norm)  general  me  nte  accptada.  al  me  nos  cn  redes  dc  cierto  umaAo.  tenet  nodo*  j 
enlaces  rcplicados  para  prevemr  srtuacioncs  de  contingencia. 

Una  sc/  mis.  el  protocol o  TCP/IP  demucstra  cn  cstc  caso  su  ueilklad.  Al  tuta 
sido  cstc  protocolo  disc  ft  ado  para  encomrar  ruus  rcnuncoits.  inclusive  ante  cube 
mavis  as,  csti  cspecialmente  hien  ooentado  para  facililar  la  rcrslructuracidn  de  uru  red 
ante  fallos  de  pone  dc  sus  components,  scan  estos  lincas.  no  Jos  o  cualquier  otroup 
de  cquipamicnto.  Cada  sc/  mis  sc  csti  oriemando  los  ctpipot  de  red  a  imacpr 
priori tariamc Me  trifico  TCP/IP  y  aftadir  facilidadcs  dc  gcstrict  dc  sobrecarga*.  rota 
altemativas.  tratamientos  dc  contingencias  y  todo  tipo  dc  sitiucioncs  que  aconceccaa 
una  red  en  functonamiento. 


18.4.  REDES  ABIERTAS  (TCP/IP) 

Ante  el  augc  que  csti  tomando  el  protocolo  TCP/IP.  como  una  prunen  . 
daxificacidn  de  redes,  sc  csti  adopt ando  la  siguiente  nomendatura  para  las  redo 
basadas  en  cstc  protocolo: 

•  Intranet:  Es  la  red  interna,  privada  y  xegura  de  uni  empresa.  utilice  o  to  " 
mcdios  dc  transpoetc  dc  tcrceros. 
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•  Extranet:  Ex  una  red  pcivada  v  xcgura.  compart  nla  por  un  conjunto  de 
cmprexas.  aunquc  utilice  mcdmx  de  tranxponc  ajcnox  e  inxegurox.  como 
pudiera  ter  Internet 

•  Internet:  Es  la  red  dc  redev  “metared"  a  dondc  xc  conecta  cualquicr  red  que  xt 
dcsee  abnr  al  extenor.  puMiea  e  inxegun.  de  alcance  mondial,  dondc  puede 
comumcar  cualquicr  poreja  o  conjunto  de  tnterlocutorex.  dotada  ademax  de 
lodo  tipo  dc  serviciox  de  valor  aAadido  Infovla  ex  la  Internet  que  topocta 
Tdcfdntca.  con  peculiandadcx  fundamental mente  comcrciales. 

Cl  mayor  peligro  que  repreventa  un  acoexo  TCP/IP  no  autocizado  viene 
fnciumentc  por  la  mayor  virtud  del  TCP/IP:  vu  amplia  dixpomhilidad  de  utilidadei. 
DaJa  la  cxtandari/acidn  de  lax  uulidadex  TCP/IP,  ex  muy  ra/onahlc  vuponer  que  cada 
ai^uiru  con  acoexo  TCP/IP  tenga  "poetiox  abtenox".  que  a  mi  ve*  tienen  dircccionex 
aomali/adax  dondc  encoolrar  tranxmaxorex  de  archivoa.  xcrvidorex  de  correo. 
tmuulex  virtual  ex  y  todo  tipo  de  xcrvickx  de  utilidad  Una  aoxencia  de  protcoridn 
npdkania  que  un  tercero  puede  utili/ar  extox  xcrvicio*  normali/adox.  dc  conuln 
oaicncia  cn  cualquicr  miquma.  en  beneficio  propto. 

Un  dnpositivo  expecfTicamente  dedicado  a  la  proteccidn  dc  una  Intranet  ante  una 
Ei travel,  y  fundamentalmente  ante  Internet,  ex  el  cortafucgox  (Firewall)  £xta  ex  una 
■Iquina  dedicada  en  cxclusiva  a  leer  cada  paquctc  que  entra  o  xale  de  utu  red  para 
ycreutir  mi  paxo  o  dcscclurlo  directamente.  F-xta  autoriracidn  o  rccha/o  exti  haxada 
a  wax  uWav  que  idemirican.  para  cada  pareya  de  intcrlocutorex  (bien  xea  taxado  en  el 
tpode  interlocutor  o  incluxivc  en  xu  idcntiflcacidn  individual)  lox  tipox  de  xcrvicio* 
qr  pueden  set  extaMecidox.  Para  llevar  a  cabo  xu  mivMta.  exixten  dixerxax 
eoafifuraciooe*.  dondc  xe  pueden  mcluir  cncammadorex  i  router x),  xcrvidorex  de 
peaimidad  (proxy),  /onax  dexmilitan/ada*.  baxuoocx,  y  demix  parafemalia.  a  veccx 
copaii  de  mode  I  ox  miltiarex. 

Las  politic  ax  de  proteccxdn  en  un  coctafucgon  xuelen  denominarxe  dcxdc 
"punnntcax"  haxta  "prortixcuax”.  paxando  por  todo  tipo  de  gamax  intermedia'  Dlcexc 
4c  U  politic*  paranoxca  cuando  exti  probibido  abxolutamentc  todo.  requirtCndoxe  una 
aMuaviOii  cxpcxtlica  para  cada  tcrvicto  cn  concede*  antra  cada  par  de  tatoftocxMorv* 
eoacreto*  Dicexe  de  potflica  promixcua  cuando  todo  exti  autonrado.  identificindoxe 
specific  amente  aquellox  serv  iciox  concretox  entre  parejax  concretax  de  intcrlocutorex 
que  se  prohiben.  Lo  mix  habitual  ex  autonrar  expecilicamente  xcrvicio*  (por  ejemplo. 
cento  electron ico)  pan  cieflox  upox  genCricox  de  uxuanox  (por  ejemplo.  a  todox). 
««■»  vniciox  (por  ejemplo.  terminal  virtual)  a  ciettox  uxuanox  cspccffico*  (por 
cynnplo.  servidor  de  temunalex  virtualex)  y  el  resto  no  autorirarlo. 


www.FreeLibros.me 


4.U  AUHTO&lA  INPUKMATK  A  UM  t.NKSQt-1  UtACtKXJ 


INTERNET 

EXTRANET 


Figura  IS.  I.  Pmlrccuin  de  una  red  Intranet 

Para  protcgcr  la  red  iMcma  "Intranet"  del  exterior  suele  utili/arxe  cl  csqucmi 
cxpueao  en  la  figura  1 8. 1 .  o  Inch  vanacioocs  del  mismo.  Se  pane  dc  la  base  dc  qac  U 
informacidA  que  viaja  entre  la  Intranet  y  el  exterior  ha  dc  atravexar  la  "row 
dcsmilitarirada"  (DM/  de  mis  siglas  inglcsas).  pasando  por  dos  cncaminadorcs.  Ua 
encaminaddr  protege  I  os  acccsos  desde  el  exterior  hacia  la  aorta  deimilitarizjdi 
(encaminador  extcmo)  y  otto  protege  los  acccsos  desde  la  zona  dcsmilitarizada  ten 
la  Intranet  (encaminador  intemo),  En  la  zona  desmilitanzada  se  instalan  aquelto 
xcrviciox  a  los  quo  haya  que  acccder  ilcsde  el  exterior  y  desde  cl  interior,  en  «u 
miquina  especial mcntc  segura.  denominada  baitidn.  que  debe  ser  dedicadt 
exclusivamente  a  cvtc  fin. 


Por  ejempk).  un  xervidor  proxy  accede  a  un  servidor  Internet,  recuperando  U 
informacidn  que  haya  sohcitado  un  utuarto  intemo,  y  almacenindola  para  que  pucdi 
ser  recupcrada  desde  la  Intranet  De  exta  manera  se  evila  una  concxidn  dirccta  desde 
una  miquina  interna  a  un  servidor  Internet.  Del  mismo  inodo.  el  corrco  clcctrdexo 
podria  rccibirsc  en  un  servidor  insulado  en  la  /otsa  desmilitarizada  y  reexpedirse  tea 
cl  interior.  FJ  ohietivo  es  evitar  extabtccer  sesioncs  dircctas  entre  una  mlqeusi 
Intranet  y  una  inaquina  externa  Los  cncaminadorcx  impcdMn  que  se  establezcai 
concxionet  dc  este  tipo.  salvo  aquclUs  que  cxpccificamentc  se  determinen.  B 
encaminador  extemo  xdlo  pcrmitirl  que  atras  icse  trifico  autorizodo  entre  el  exterior  > 
cl  basttdn.  y  el  encaminador  intemo  hard  lo  propro  con  el  trlfico  entre  cl  boxlidc  y  It 
red  interna. 


Este  exquema  de  protccctdn  poede  ser  simplificado.  a  costa  dc  diMniruit 
functonalidades  y  solidez.  prescindiendo  en  primer  lugar  del  encaminador  intemo.  j 
en  xegundo  lugar  del  bastidn.  Abrir  al  exterior,  sin  proteccidn.  una  red  interna,  quell 
fuera  de  la  buena  prictica  mformdtica. 
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El  pcligro  mis  clixico  e*  quc  un  extraAo  sc  introdu/ca  dcsdc  cl  exterior  hacia  la 
ml  interna  Dado  quc  Us  iCcmcas  pan  saltar  lo*  prooodtnucnios  dc  xcgursdad  *on 
pdbltcas  y  sc  pucdc  acccdcr  a  ell**  dcsdc  Internet.  una  primer*  preoctipaciOn  dcbicra 
ser.  periodic*.  comrolada  y  prtventivamcnte.  mtentar  saltar  I  os  prcvcdimicnto*  dc 
scgundad  ante*  dc  quc  un  extraAo  los  pong*  a  prncKi 

Para  comprobor  los  controle*  dc  arccso  dcsdc  cl  exterior.  asi  como  lax 
vulncrabtltdadc*  cn  la  red  iniema.  corufuegos.  scrvidorcs.  etc.  cxistcn  program** 
espeo'ficos  ya  cotncrciah/ado*.  como  por  ejcmpto  SAFEsuilc.  Satan.  Cops...  quc 
tuiluan  csta  (area,  comprobando  las  vulncnNIidadcx  ya  cooooda.  Las  nuevas 
sctmooc*  dc  cslos  program**,  quc  aparveen  regularmcnle.  incluycn  comprobac  tones 
de  la*  nuesas  debit  idadcs  dctcctada*.  Como  cn  cl  caso  dc  los  anti  virus.  *e  deben 
letter  cstos  program**  actualizados  a  fee  ha  rccicnte 

Un  primer  ataqoc  ex  conscguir  la  idcntificacidn  dc  un  usuano.  Fan  ello  pueden 
utili/arsc  tCcnicas  dc  mdagacidn.  Icyendo  cl  trifico  hast*  cncontiar  tvombre*  dc 
usuano  y  contrascAa*.  poncr  a  prueba  la  buena  fe  dc  los  usuahos  mandindolc*  un 
mentaje  del  tipo  "soy  su  administrador.  por  favor.  cambic  *u  contrascAa  a  man&rui  ~ 
o  ditestamente  mtentar  cncontrar  idenli  fie  ac  tones  haNtualcs  dc  usuiriox  C ’prueba". 
"opcl".  “master”...),  o  quc  ya  vicnen  por  dcfccto  cn  muchox  sistemas. 

Aunque  los  archivox  dc  contrascAa*  cstin  cifradox.  hobitualncntc  utili/ando 
como  clave  dc  cifrado  dc  cada  contrascAa  la  propia  contrascAa.  como  los  mCtodos  dc 
ofra  sc  conoccn.  cxistcn  program**  quc  son  c apace*  dc  probar  miles  dc  contrascAa* 
tnualcs  ya  cifradas  para  ver  si  corrcspondcn  con  alguna  del  archivo  dc  contrascAa* 
cifradas  Por  ello  es  fundamental  evitar  quc  los  arcbivos  con  lax  contrascfta*  cifradas 
caigan  cn  manos  dc  tcrccrov 

En  los  sistemas  dixtnbuidos.  sc  xuclc  utilizar  la  i&nica  dc  "conftan/a  entre 
aodos".  dc  matter*  quc  si  un  usuario  cstl  aulori/ado  para  cl  nodo  A.  y  solicit*  dcsdc  cl 
aodo  A  un  xcrvicio  al  nodo  B.  como  cl  nodo  B  "confU"  cn  quc  cl  nod>  A  ya  ha  hccho 
U  autenticacK'o  del  usuano.  cl  nodo  B  admitc  la  pcticidn  del  usuaru  sin  cxigulc  la 
contrascAa.  Un  intniso  quc  sea  capo/  dc  entrar  cn  un  nodo  pucdc  pot  unto  entrar  cn 
Kxios  los  nodo*  quc  “conficn"  cn  cl  nodo  ya  acccdido. 

TambsCn  aparcce  diver**  "fauna  maligna"  como  "gu*ano*“.  mensajes  dc  corrto 
elcctrfaico  quc  sc  rcproduccn  y  acaban  por  adaptor  la  red:  "cabal  lo*  dc  Troy  a", 
program**  aparcntcmcntc  "inocuos"  quc  lie  van  cridigo  cscondidc:  virus,  quc  sc 
tutocopian  dc  un  programa/documcnto  “infectado"  a  ouos  programsAkvumento* 
"lunpsos":  “poena*  falsas”.  acccxos  quc  mocha*  vcccs  *e  quedan  de  la  ctapu  dc 
iitstalacNWdcpuracidn  dc  kx*  sistemas. 
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18.5.  AUDITANDO  LA  GERENCIA  DE  COMUNICACIONES 

Coda  \tr  mi\  tat  comumcacionet  euan  tomando  un  pa  pel  detcrmmanie  cn  d 
traiamicnto  dc  dalot,  cumplilndotc  cl  lema  “el  computador  cc  U  red"  . 

No  ticmprc  cua  importancia  qurda  adccuadametue  rcflejuda  dcntro  dr  b 
curvrtura.  urgam/ativa  dc  proccco  dc  dato*.  ccpccialmcntc  cn  organieactoncc  dr  tyo 
"iradKioojr,  do  ode  U  adaptation  a  lot  cambios  no  se  produce  inmediaumrtwt 
Mienuat  que  comunmcntc  cl  dircctivo  informttico  ticnc  amplioc  cooocimieotot  dr 
peoccc©  dc  datov  no  ticmprc  cut  habdidadet  y  cuahficacionet  cn  temat  de 
comunicacioncc  esltn  a  la  mivma  aliura.  por  lo  que  cl  r*ctgo  dc  deficiente  anclayr  dr  U 
gcrcncia  dc  comumcacionet  cn  el  etqucma  organi/ativo  cmuc.  Por  ui  pane,  ka 
informal  icon  a  cargo  dc  lac  c  omunic  at  loort  cue  Jen  autoconcidcrarcc  etcluovamaar 
Idcmcot.  obviando  contiderar  lac  aplicacionct  organi/alivas  de  su  urra 

Todoc  cdoc  faclorcc  coo  serpen  cn  que  la  audilorU  dc  comunicactonex  no  uempre 
cc  practiquc  con  la  frecuencia  y  profundidad  cquivakMct  a  lac  dc  otnc  treat  del 
pruceto  dc  dalox. 

Por  unto,  cl  primer  punto  dc  una  auditorfa  cc  determmar  que  la  funcido  dr 
gcuidn  dc  redes  y  comumcacionet  cud  claramcntc  dcfmida.  debiendo  ccr  rctpontaNr. 
en  general,  dc  lac  siguientes  treat: 

-  Gestidn  dc  la  red.  invcntario  de  eqinpamicnto  y  nomutiva  dc  concctictdad. 

-  Monitonzacidn  dc  lac  comumcacionet.  regictro  >  resolution  dc  problcmat. 

-  Reuetdn  de  codec  y  tu  augnacton  dc  protccdorct  y  tcrvtcioc  dc  iramporte. 
balances'  dc  tri/ico  cnlrc  roue  y  telcceidn  de  cquipamicnto. 

-  Participation  activa  cn  la  cctraiegia  de  proccco  dc  dalot.  fijaetdn  dc  etiiodiret 
a  ccr  ucadoc  cn  cl  dccamtllo  dc  apltcacioncc  y  evaluation  de  ncccudadet « 
comumcacioocs 

Como  objetitoc  del  control,  cc  debc  marcar  la  ccictcncia  dc: 

•  Una  gcrcncia  de  comunicacioncc  con  autondad  para  ccublcccr  prucedimiema 
y  nomumva 

•  ProtedimieMos  y  regidroc  de  inccntarioc  y  cambtoc. 

•  Puncioocc  de  vigilancia  del  uco  de  la  red  de  comunicacioncc.  ajuctec  dr 
rendimiento.  regictro  dc  incidenciac  y  rctolucido  de  proMcmav 
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Procedimientox  para  cl  xcguimtento  del  coxte  dc  las  comunkacionc*  y  \u 
reparto  a  lax  personas  o  unidadex  apcopiadas. 

Procedimientox  para  vigilar  cl  uso  dc  la  red  dc  comunicacioocs.  rcaliiar 
ajuxtex  para  mejofar  cl  rcndimicnio.  y  registrar  y  rcxolvcr  cualquicr  problema. 

Participation  activa  dc  la  gerencia  dc  comunicacioncs  cn  cl  discfto  dc  lax 
nuevax  apltcacioncx  on  line  para  asegurar  que  %e  siguc  la  normal  iva  dc 
comunicacioocs. 


Cemprobar  que: 

•  0. 1 .  La  gerencia  dc  comumcacioncx  dc vpac  he  coo  cl  pucxio  dircciivo  que  cn 

cl  organigrams  renga  auloodad  suficicnic  para  dirigir  >  comrular  la 

funcidn. 

•  G.2.  Haya  coordination  organi/aiixa  enrre  la  comunicacidn  dc  dalos  y  la  dc 

xxw.  cn  coxa  dc  extar  xeparadax  extax  dox  functoncx. 

•  G  J.  bxtxtan  dcscripcionex  del  pucxio  dc  Irabajo.  compctcnciax, 

rcqucrimicntox  y  respon&abilidades  para  cl  pcrxonal  inxolucrado  cn  lax 

comunicacioocx. 

•  G.4.  Kuxian  normax  cn  comunicacioncx  al  mcnox  para  lax  xiguienlex  Areas: 

•  Tipox  dc  cquipamienio.  como  adapiadorcx  LAN.  que  pueden  xcr 
mxialadox  cn  la  red. 

•  Procedi  micniox  dc  aulori/acibn  para  concctar  nuevo  cquipamienio 
cn  la  red. 

•  Planes  y  proccdnnicnlox  dc  autorizaetbn  para  la  introduccibn  de 
lineax  y  equipox  fucra  dc  tax  horas  normalex  dc  operacibn. 

•  Procedimientox  para  cl  uxo  dc  cualquicr  concxibo  digiul  con  cl 
exterior.  como  linca  dc  red  ictcfboica  conmucada  o  Internet 

•  Procedimientox  de  autori/acibn  para  cl  uso  dc  cxploradoccx  ftsicox 
(sniffers)  y  Ibgicox  (traceadorex). 


www.FreeLibros.me 

41ft  Al'DITOftlA  IVHWMAnCA  UK KNMXA  t  IHACIKXl _ 


•  Control  flsico  dc  los  cvploradorcx  fisicox  (sniffers).  que  debca  ear 
guard  ado*. 

•  Control  dc  qud  maquinas  ticncn  irtstalados  cxploradorcs  kgicc* 
(iraceadorexl.  y  dc  que  dstos  xdlo  k  pocden  invocar  po»  ustunot 
Morizados. 

*  G.5.  Los  conuaios  coo  Uanxportixtas  dc  informacidn  y  ouos  provecdrns 

ticncn  dcfimdas  rcxponsabilidadcs  y  obligacioncs 

•  0.6.  Exixtan  planes  dc  comunicacioncs  a  largo  plaro.  incluycndo  cstraKpa 

dc  comunicacioncx  dc  voz  y  datos. 

•G.7.  Hxistcn.  u  fucrcn  necexariox,  planes  para  comunicacioncs  a  ab 
\  doodad,  como  fibra  Optica.  ATM.  etc. 

•  G.  8.  Sc  plamfican  redes  dc  cablcado  integral  para  cualqiucr  nuevo  edifiew o 

dependence  que  vaya  a  utilizar  la  empresa. 

*  G.9.  El  plan  general  dc  rccupcraodn  dc  desastres  considera  el  respaldo  y 

recuperation  dc  sUtemas  dc  comunicacioncs. 

*  G.  10.  Las  listas  dc  insentano  cubrcn  todo  el  equipomicnto  dc  comunicaocnn 

de  datox,  incluycndo  mtidemv  controladorev.  lerminalcs.  I  Incas  y 
equips  is  relacionados. 

*  G.l  I.  Sc  maniicncn  I  os  diagramas  de  red  que  documcntan  las  coocuom 

(Isicas  y  lOgicas  entre  las  comunicacioncs  y  ouos  cquipos  dc  proccso  de 
datos. 

•  G.  1 2.  Sc  refleya  concctamcmc.  cn  cl  registro  dc  insencario  y  cn  los  diagram* 

de  red.  una  tnucstra  sclcccionada  dc  cquipos  de  comunicaooocs,  dr 
dentro  y  dc  fuen  dc  la  sala  dc  computadorcx 

•G.l  3.  Los  proccdimicntos  dc  cam  bio  para  cquipos  de  comunicacioncs. 
como  para  aAadir  nuevos  (crminalcs  o  cambios  cn  dircccionet. 
adecuados  y  consistcntes  con  ouos  proccdimicntos  dc  cambio  cn 
opcraciones  dc  proccso  dc  datos. 

•  G.I4.  Existc  un  prncedimicnto  formal  dc  prueKi  que  cubre  la  inuoduccidn  dc 

cualquicr  nuevo  cquipo  o  cambios  cn  la  red  dc  comunicacioncs. 


r  S  S. 
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*  G.IS.  Pjii  una  setecctdo  de  discrsas  alias  o  cambtos  cn  la  red.  ie  un  pcrfodo 

recicnlc.  los  procedimicnios  formates  dc  control  han  vido  cumplidos. 

*  G.I6.  bstin  csiaMecidos  ratios  dc  rendimiento  quo  cubrcn  ireas  como  La  de 

t  tempos  dc  respoesta  cn  los  terminates  y  tasas  dc  errores. 

*  G.I7.  Sc  vigila  la  actividad  dentro  dc  los  sistemas  on  tin*  y  te  real i win  los 

ajustes  apropiados  para  meyorar  cl  rendimiento. 

*G.I8.  Exislcn  proccdi micnlos  adecuados  dc  idcnliftcacidn.  dooimcntacidn  y 
tortu  dc  acetones  correctivas  ante  cualquicr  fallo  dc  comuiacac  tones. 

*G.I9.  La  facturecidn  dc  los  transpottistas  dc  comunicackoes  y  otros 
vendedorcs  cs  revisada  regularmentc  y  los  cargos  con  discrepancies  ve 
con  for  man  adccuadamentc. 

*  G.20.  Kxisie  un  si  sterna  cumprcnsiblc  dc  contabilidad  y  cargo  cn  cosies  dc 

comunicaciones.  tneluyendo  Ifneas.  cquipos  y  tcmiinalcs. 

*G.2I.  Los  gestures  dc  comunicaciones  cstin  mfonnados  y  puntcipan  cn  la 
planificactdn  prc-implcmcntacidn  de  los  mtevos  sistemas  dc 
informacidn  que  puedan  tenet  impact o  cn  las  coinunicacioocs 

*  G  22  Las  considcractoncs  dc  planificacidn  dc  capacidad  cn  comunicaciones 

son  tomadas  cn  cucnta  cn  cl  disc  do  c  implcmcntacniri  dc  nuevas 
aplicacioncs. 


18.6.  AUDITANDO  LA  RED  FISICA 

En  una  primera  division.  se  caablccen  distintos  riesfos  para  In  datos  que 
recti lan  dentro  del  cdiricio  dc  aqucllos  que  viajan  pot  cl  exterior.  Pot  unto,  ha  dc 
tsdiursc  hasta  qud  porno  las  instalaciones  ftstcas  del  cdiftcio  ofrcccn  garantfas  y  han 
«•*> cuuUlatUs  las  vulncrabllldades  extstemes. 

Ee  general,  muebas  voces  sc  parte  del  supucsto  dc  que  si  no  cxistc  acccso  ffsico 
devde  cl  exterior  a  la  red  interna  de  una  empresa  las  comunicaciones  inteisas  quedan  a 
also.  IVbe  comprobarsc  que  cfcctivamcntc  los  acccsos  ftsicos  proveniences  del 
aimer  ban  sido  debidamcntc  registrados.  para  esilar  cstos  acccsos.  Debe  lambidn 
ccngrobarse  que  desdc  el  interior  del  cdificio  no  se  mtcrccpta  ffsicamewc  cl  cablcado 
Opincha/o"). 
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bn  caso  de  desattrc.  Nen  sea  local  o  partial.  ha  do  podcr  comproborsc  cuil  a  h 
parte  del  cahlcado  que  queda  on  condicioocs  de  funciouar  y  qud  opemivid*i  pjede 
toponar.  Ya  que  cl  lendido  de  cablet  e*  una  actividad  irreali/ablc  a  muy  corto  jum, 
liw  planet  de  recuperacido  de  coebngcnciat  deben  loner  prevista  la  recupcracite  a 
conuinicactonct. 

Ha  de  lenertc  on  cuenu  que  la  red  ffsica  cs  un  punto  claro  de  contacio  acre  It 
gcrcncia  de  comunicacioncs  y  la  gcrcncia  de  mantcnimiento  general  de  cdilioot.  qce 
I  et  quten  socle  aportar  clecincitiat  y  personal  profcsional  para  el  lendido  (Turn  4c 

cablet  y  su  nunicmrmcnto. 

Como  objetivot  de  control. «  debe  marcar  la  cxlttcncia  de: 

•  Areas  controladas  para  lot  equipot  de  comunicacionet.  peevinienfc  at 
aocetos  inadccuadot. 

•  Proccccidn  y  lendido  adecuado  de  cables  y  lineat  de  comunicacionet.  pa 
evilar  acccsott  flscot. 

•  Controlcs  de  ulili/acidn  de  lot  equipot  de  pruebat  de  comunicacionet.  uvado 
para  momtoncar  la  red  y  tu  tnUico.  que  impidan  \u  ulili/acidn  inadccuada 

•  Atcncidn  ctpcctfica  a  la  recupcracido  de  lot  ttticmas  de  comuiMcaciria  de 
daiot  on  el  plan  de  rccuperacidn  de  detastres  en  titicmat  de  informacite. 

•  Cooirolct  ctpecfOcot  en  cat©  de  que  sc  utilicen  I  incat  iclcfdoicat  notraaSci 
con  acccto  a  la  red  de  daiot  para  prevenir  accetos  no  auiorirado*  al  Mticmio 
a  la  red. 


I.Nt  a  de  conirol 


Competitor  que: 

•  F.  I.  13  equip©  de  comunicacionet  te  mamiene  en  habilacionet  ccrradat  we 

acceto  limiiado  a  personas  aulorizadat. 

*  F.2.  La  teguridad  fCtka  de  lot  equipot  de  comunicacionet.  laics  cotno 

control  adoect  de  comunicacionet.  denuo  de  lat  salat  de  computadora 
teaadccuada. 
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F.3.  Sdlo  personas  coo  rcsponsabilxlad  y  conocirr.icntos  cstin  inclutdas  cn  U 
hsta  tic  personas  pcrmanentemcnic  auton/adas  para  cnliar  cti  las  talas 
de  cquipos  dc  comumcacionc*. 

F.4.  Sc  Ionian  medtdas  pan  scparar  las  actividadc*  dc  clcctricistas  y 
personal  dc  lendido  y  numcninucnio  dc  lendido  dc  Knras  tclcfdnicai. 
aii  como  mu  auton/ac  tones  dc  acceso.  dc  aqutJllas  del  personal  bajo 
control  dc  la  gcrencia  dc  comunkacumc*. 

F.S.  bn  las  /ona.\  adyaccntcs  a  las  salas  dc  comumcacioncv  todas  las  lineas 
dc  comunicacioncs  fucra  dc  la  vista. 

F.6.  l.as  Kneas  dc  comunicacionev  en  las  salas  de  comunicacionc*.  armanos 
distributees  y  terminac  tones  dc  los  dcspachos.  esiarin  cltquctadas  con 
un  cddigo  gotionado  por  la  gcrencia  dc  comunicacioncs.  y  no  por  mi 
dctcripcidn  fioca  o  mliodos  sin  cohcreixia 

F.7.  Exisicn  proccdimicntos  para  la  protcccidn  dc  cable'  y  bocas  dc 
conexidn  que  dificulten  cl  que  scan  intcrecptados  o  am cctados  por 
personas  no  autorizadas. 

F.8.  Sc  re  visa  pcnddicamentc  la  red  dc  comunicacionev  buwando 
intervepe  tones  activas  o  pasivas. 

F.9.  Los  cquipos  dc  prueba  dc  comuntcacioncs  usados  pan  rcsolscr  los 
probtemax  dc  comunicacidn  dc  dates  deben  terser  propdsita*  y  funcioncs 

dcfinUiw. 

F.IO.  I  listen  controlcs  adccuados  sob  re  los  cquipos  dc  prueba  dc 
comuntcacioocs  usados  para  mention  zar  Kneas  y  fijar  probiemas 
ineluyendo: 

•  Pnvcdimicisto  restringiendo  cl  uso  dc  cston  cquipos  a  personal 
aulori  ratio. 

•  Facilidadcs  dc  trara  y  registro  del  trlfico  dc  dates  tgic  poscan  los 
cquipos  dc  monitor!  zacidn. 

•  Proccdimicntos  dc  aprobaetdn  y  registro  ante  las  conoioncs  a  Kneas 
de  comunKacioncs  cn  la  detection  y  correction  dc  proMcmas. 

F.l  I  En  cl  plan  general  dc  rccuperactOn  de  desastres  para  scrvicios  dc 
informacidn  presta  adccuada  atenciOn  a  la  recupcractdn  y  vuelta  al 
scrVKio  de  los  tittemas  dc  comumcaciOn  de  dates 
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•  F.12.  Exislen  planes  de  coniingencia  para  detastres  que  sdlo  afccten  a  In 

comumcaciones.  como  cl  fallo  dc  una  tala  compku  de  comumcanonet 

•  F.  13.  I-*'  altcrnativas  dc  rcspaklo  dc  comunicacionc*.  bicn  wra  con  In 

mitmas  salas  o  con  talas  dc  re  spa  Ido.  considcran  la  seguridad  fftaca  dc 
cstos  lujarex. 

•  F.I4.  Las  I  Incas  iclcfrimcai  usadas  para  data*.  cuyos  raiments  no  dcbca  Mr 

pdblicos.  liencn  dispositivos/proeedimientos  dc  seguridad  laics  eccao 
reirollanuda.  eddigos  dc  concxidn  o  mierrupioecv  para  impedir  access 
no  aulori/ados  al  si  sterna  informdlico. 


18.7.  AUDITANDO  LA  RED  LOGICA 

Cada  vex  mis  sc  tiende  a  que  un  cqsnpo  pueda  coenunicarsc  con  cualquier  ooo 
cquipo.  de  man  era  que  sea  la  red  dc  comumcaciones  cl  substrato  cocrain  que  le*  uee 
Leldo  a  la  inverxa.  la  red  hacc  que  un  cquipo  pueda  acceder  Icgliimamenie  a  cualquier 
euro,  incluycndo  al  irifico  que  circule  hacia  cualquier  cquipo  dc  la  red.  Y  todo  cite 
pur  mdtodos  cxclusivamcnte  Idgicot.  sin  nccesidad  de  instalar  flticamcnie  ainpk 
disposilivo.  Simplemenie  si  un  cquipo.  por  cualquier  circunstancia.  se  pone  a  er.tur 
tndiscnminadameme  mensajes,  poede  ser  capaz  dc  bloquear  la  red  comp  leu  y.  por 
tamo,  al  rcsto  dc  los  equipos  de  la  instalacidn. 

Es  necesano  moniion/ar  la  red.  revisar  los  err  ores  o  siiuaciones  andnuUs  que  m 
produccn  y  tener  establccidos  kts  pntccdamicnios  para  dclcciar  y  aislar  equipos  ea 
\ituactdn  and  mala  Fn  general,  si  sc  quicrc  que  la  infoemacidn  que  vtaja  por  la  red  ao 
pueda  ser  espiada.  la  ilnica  sol  uc  ion  toulmenie  efectiva  es  la  encripucidn. 

Como  objelivos  de  control,  se  debc  marcar  la  exisiencia  de: 

•  ConiraseAas  y  ousts  procedimiemos  para  limilar  y  deicctar  cualquier  imentodt 
acceso  no  aulonrado  a  la  red  dc  comumcac  tones 

•  Facilidades  de  control  de  mores  para  dctectar  mores  de  tranxmnuSo  y 
csiablevcr  Us  retransmisiones  apropsadas. 

•  Controles  para  asegunir  que  las  transmisioncs  van  solamcnie  a  umutm 
aulorizados  y  que  los  mensajes  no  liencn  por  qud  seguir  siempre  U  mismi 
ruta. 

•  Rcgistro  de  la  actividad  de  la  red.  para  ayudar  a  rcconxtruir  mcidcncias  y 
dctectar  accesos  no  autorixado*. 
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Tdcnicax  de  cifrado  de  datos  dondc  haya  ncsgos  de  acceso*  impropios  a 
transmisioncs  sensible*. 

Controles  adocuados  quc  cubran  U  imporlacidn  o  cxportacidn  dc  datos  a 
trax^s  de  pocrtac,  en  cualquier  puMo  dc  la  fed.  a  otros  sixtemas  infomwiticov 


Lbla  de  control 


Comprobar  que: 

•  L.I.  El  software  dc  comunicacioncs.  para  permitir  cl  acceso.  exige  eddigo  dc 

usuario  y  contnucAa 

•  L.2.  Rcvisar  cl  proccdimicnto  dc  eoncxibn  dc  usuario  y  comprobar  quc: 

•  Los  usuarios  no  pueden  acccdcr  a  ningOn  tistcma.  ni  ssquicra  dc 
ayuda,  antes  dc  haberxe  identificado  corrcctamcnlc. 

•  Sc  inhabilita  al  usuario  quc  sea  incapa/  dc  dar  la  contraxcAa  despubs 
de  un  Mhnerodetermmado  dc  inicntos  infructuoxos. 

•  Sc  obliga  a  cambiar  la  contrascAa  rcgularmcntc. 

•  I  j»  contrascAas  no  son  mostradas  en  pantalla  cuando  sc  icclcan. 

•  Durante  cl  proccdimicnto  dc  identificacidn.  tos  usuarios  son 
informadox  dc  cuindo  fuc  su  ultima  concxidn  para  ayodar  a 
identificar  potcncialc*  stiplantacionex  o  acccxos  no  autori/ados 

•  L.3.  Cualquier  proccdimicnto  del  fabricantc.  mediante  hardware  o  software. 

quc  permita  cl  libre  acccso  y  quc  haya  sido  uuli/ado  en  la  instolacidn 
original,  ha  dc  ha  her  sido  inhabilitado  o  cambiado. 

•  L.4.  Sc  toman  cstadfMicas  quc  incluyan  t*SM  dc  crrorcs  y  dc  rctransmisido. 

•  L.5.  I -os  protocoled,  ulilizadov  rcsisados  coo  cl  personal  adccuado  dc 

comunicactones.  disponen  dc  proccdimicnto*  de  control  dc  crrorcs  con 
la  seguridad  suOcientc. 
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1.. 6.  Los  mcnsajcs  Idgico*  transmitidos  idcnlifican  cl  originantc. 

bora  y  cl  receptor. 

L.7.  El  software  dc  comuntcacioncs  ejecuta  proccdimicntos  de  control  )  l 
corrective*  ante  mcnsajcs  duplicados.  fuera  dc  orden.  perdidov  o 
ret/usados. 

1.. 8.  l-a  arquitcctura  dc  comunicacioeies  utiliza  iodistintamcntc  cualquier  rtu 

di.sponiblc  dc  transmisido  para  minimizar  cl  impocto  dc  utu  cscuchi  de 
ilalos  sensible*  cn  una  ruta  determinada. 

L.9.  Existen  cootrolcs  para  que  los  dates  sensible*  sdto  puedan  set  imprewt 
cn  Us  improver**  dcsignada*  y  visto*  desde  los  tcrminalcs  autorizado* 

1 .. 10.  Existen  proccditnicntos  dc  regislro  para  capturar  y  aywlar  a  rcconstrar 

todas  las  actmdades  dc  las  transacciones. 

L.I  I.  I  .<>*  arc  hi  vos  dc  regislro  son  revisados,  si  cs  post  Me  a  traves  de 
herramientas  aittom.lticav  diariamente.  vigilando  inlcnlu*  irapropom  de 
acccso. 

1 .. 12.  Existen  an. 'll ims  dc  riesgos  para  las  aplicacioncs  dc  proccso  de  dates  a 

fin  dc  idcntificar  aqucllas  cn  las  que  cl  cifrado  re  suite  apropiado. 

L.  13.  Si  sc  utili/a  cifrado: 

•  Existen  proccdimientos  dc  control  sobec  U  gcncracidn  c  intereamNo 
de  claves. 

•  Las  claves  de  cifrado  son  cambiadas  regularmcntc. 

•  El  transportc  dc  las  claves  dc  cifrado  desde  dondc  sc  gcncran  a  k» 
cquipos  que  las  utilizan  siguc  un  prucedumcnto  adccuado. 

L  14  Si  sc  utilizan  canalcs  dc  comunicacidn  uniendo  di versos  cdificio*  do  la 
misma  organizacidn,  y  existen  datos  sensible*  que  circtalcn  pot  dloa. 
comprobar  que  cstos  canalcs  sc  cifran  automalicamcntc.  para  cvitarqae 
una  intcrccptacidn  sistcmitica  a  un  canal  comprometa  a  toda*  las 
aplicacioncs. 

L.IS.  Si  la  organizacidn  licnc  canalc*  dc  comunkacido  con  otraa 
orgamzactoocs  sc  analiee  la  comeiuencia  dc  cifrar  cstos  canalc*. 
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•  L.  16.  Si  ec  uulira  U  BinMiuuAn  do  duos  icnuMn  a  IraviK  dc  itdn  ibicnu 

como  Internet.  comprohar  qoe  ecto*  datoe  viajan  cifrado* 

•  I.  17.  Si  en  uiu  red  local  ccietcn  compuladorce  con  mddrmv.  •<  ban  reetiado 

kn  controlec  de  cegundad  acoctadoc  para  impedir  el  acccco  dc  equiptn 
(or anon  a  la  red  local. 

•  L 18.  ExiMe  una  politic  a  de  prohibicido  dc  introductr  program**  perconalcc  o 

conectar  cquipoc  pnvadoc  a  la  red  local. 

•  L.I9.  Todat  lac  "pucrtac  traccras"  y  acceccn  no  ccpecificamote  auion/adoc 

cdin  bloqucadov  Ea  cquipoc  activoe  de  comimicacioocc.  como 
poentev  encamirudorcv.  conmutadorcc.  etc..  c\to  signifies  qoc  loc 
acccsos  para  screicio  remoto  eclin  inhabilitadoc  o  ticncn 
procedi mientm  eepeoficoe  de  control. 

•  L.20.  Penddicamcntc  *e  ejecutan.  mcdiante  loc  programac  actuali/adoa  y 

adreuadov  ataquec  para  dcccuhnr  \  ulncrahilidadcv  qoc  loc  rccultadoc 
ee  documentan  y  re  cooigcn  lac  defictcncia*  obccrcada*  lictoc  ataquec 
dehen  realixane  independientemente  a; 

•  Scrvidore*.  dodc  dentro  del  servidor. 

•  Sereidorcv  dcade  la  red  intcma. 

•  Scrvidore*  Web,  ccpcciticamemc 

•  Intranet,  deede  dentro  de  clla. 

•  Cortal’oegov  dc»dc  dentro  de  ellov 

•  Accecoc  deede  el  exterior  yA>  Internet 


18.8.  LECTURAS  RECOMENDADAS 

Andrew  S.  Tancnbaum  Re  Jet  de  <omputadorei  Prentice  Hall  Ec  cl  tbrn  de  referen¬ 
da.  por  antooomaua.  en  cocnunicacionev 

Vino*.  COAST.  Computer  Operations.  Amin  and  Secuhtt  Technology. 
hltpV/www  cc  ourdue  .edufeoact  l,'n  actual  i/ado  compendio  de  conocimicntoc 
vobre  el  tema.  con  hipcrenlaccc  a  k*  mac  cignificatico  del  ccctor. 

Skeen  L.  Tcllecn.  Intranet  Organi union  Strategies  for  managing  ceange.  Intranet 
Partner*.  httpy/www.intranrtpartncT*  com/ImranctOrg  Enfoquc  nuy  oocntado  a 
la  prictica  empee  canal  cotidiana. 
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18.9.  CUESTIONES  DE  REPASO 

1.  ^Cuilct  too  lot  ntvclct  del  tnodelo  OS  I? 

2.  tCu4Ict  ton  Ut  inodcncias  quc  pucdcn  producirtc  cn  Ut  rcdet  de 
comraicaciooci? 

3.  .C'uilet  ton  lot  mi)wn  nctfot  que  ofrecen  Ut  rtdct? 

4.  (',Exit4e  el  net  go  de  quc  sc  inlcrccpCe  un  caul  de  conMintcacionct? 

5-  ,',Qud  tucle  hacerte  con  Ut  contritcrtjs  de  kw  utuartot.’ 

6.  ,,  Cuilct  ton  lot  protocojot  mit  import antet  dc  alio  nivel? 

7.  Difcrencut  enwe  Internet.  Intranet  y  Kttranel 

8.  iQirf  et  un  "cortafuefot"'’ 

9.  iQai  et  un  “gutano”? 

10.  iQo(  objciivot  de  control  detlacarfa  en  la  auditor!*  de  la  gcrcncia  de 
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CAPlTULO  IV 


AUDITORlA  DE  APUCACIONKS 


Jori  Maria  Madurga  Oitiza 


19.1.  INTRODUCCION 

Qu t  duda  cabc  quc  una  nicticulosa  y  cxhauvtiva  aoditoria  dc  una  aptkacida 
■rfonaitica  dc  irkvancia  cn  una  cmprcsa  o  cntidad  podria  da*  pic  para  poner  cn 
funcionamiento  la  prictica  totalidad  dc  la  exlcnsa  gaina  de  t&nicas  y  nca  mclodotogfa 
dc  la  audnorfa  infoemltica 

Dcbo,  por  umo.  aclarar  dc  panida  cl  alcancc  dc  cstc  trabajo  dcntro  del  contexio 
de  la  obca  cn  quc  sc  Integra  al  coma*  con  capftuk»  espccfficos  dcdicadox  a  numcroso* 
Mpccios  tfcmcox  y  al  rcsto  dc  ctapas  de  la  vida  de  un  si  sterna.  mcluvo  a  su  explotacibn 
)  cuntcninucnto.  mi  exposition  se  no  a  centrar  tn  la  fast  final  de  la  vida  de  la 
aplicacidn  informdtica.  la  de  su  funcionamiento  ordinario,  una  VCZ  superada  la  crtlica 
eupa  dc  su  implantacidn.  quc  habri  ccrrado  cl  ciclo  prveedido  poc  las  de  conccpcidn  y 
dnarrollo. 

Tambtdn  he  dc  confesar  mi  propOvito  dc  quc  prime  la  recupiUcidn  dc 
operiencias  recog  idax  cn  los  trabajos  dc  cste  tipo  quc  he  tenido  ocasidn  dc  dirigir. 
wbte  cl  rigor  dc  una  rccapitulacidn  dc  cstlndarcs  dc  objetivos  dc  control,  quc  pueden 
Kr  local  i  rad  os  sin  diftcultad  a  trusts  dc  numcrosas  fuente*.  Dkhas  expcncncias  sc 
htn  dcscnsuclto  cn  aplicaciooc*  dc  gran  envergadura  y  compkjidad:  utiliradas  por  un 
considerable  ntlmero  de  usuarios.  con  gran  dispersion  gcogrifica.  diversidad  dc 
pialaformas  y  complcja  red  dc  cocmmicaciones.  lo  quc  dcbicra  haber  pennitido  aflorar 
auyoc  mi mero  dc  problcmas  a  tener  cn  cucnta  y  a  los  quc  dar  solucidn 

Ad  pue*.  el  objeto  dc  cste  trabajo  consistc  cn  tratar  de  ayudar  a  planificar, 
prtjurar  y  Uevar  a  cabo  auditorial  de  aptkaciones  en  funcionamiento  en  ruanto  al 


www.FreeLibros.me 

<»  AtuncmiA  intokmAtica  uk  lAmpm-  wumro _ 


grado  df  cumphmirnSo  dt  lot  objrrivot  para  lot  qur  las  mu-mat  fur r on  cr today  eta  * 
caricter  genera).  dstos  cstarin  en  la  linca  de  setvir  de  cficaces  herramienut  operative 
y  de  gcxtidn  que  potcncien  la  mas  eficicnte  coiunbuctOn.  poe  pane  de  la  I 
orgamracioncs  uuuni'  de  las  aplicactones.  a  la  consccuctdn  de  los  objeusoi  | 
generates  de  la  empresa.  grupo  o  emidad  a  la  que  pcnenccen. 


19.2.  PROBLEMATICA  DE  LA  AUDITORIA  DE  UNA 
APLICACldN  INF0RMAT1CA 

L'iu  aplicacidn  mformltKM  o  sistema  de  informacidn  habitualmcntc  pertigte 
conus  final idad: 

•  Registrar  fielmcntc  la  informacidn  considerada  de  interns  en  loroo  a  laa 
opcraclones  llevadas  a  cabo  pot  una  detenranada  otgani/acidn  magnitude* 
fiskas  o  econdmk&s.  fechas.  descnpcioncs.  atnbutos  o  caracierittkas. 
identificacidn  de  las  personas  fisicas  y/o  juridkas  que  inters  ienen  o  guardia 
rclacidn  con  cada  opcracidn.  nombees.  direcciones.  etc. 

•  Pcrmitir  la  reahracidn  de  cuantos  proceso*  de  cilculo  y  cdicidn  vein 
nccesarios  a  partir  de  la  informacidn  registrada.  pudiendo.  pot  unto, 
almacenar  aulomilicamentc  mis  informacidn  que  la  de  partida.  aunque 
siemprc  basada  en  aquella 

•  Facilitar.  a  quiencs  lo  precisen.  respuesta  a  consultas  de  todo  tipo  vobte  b 
informacidn  almaccnada.  discAadas  en  contenido  y  forma  para  dar  coberturaa 
las  neccsidades  mis  comunes  const* ladas. 

•  Genera/  mformes  que  sirs  an  de  ayuda  para  cualquier  fmalidad  de  interns  cn  b 
organ  i/acidn.  presentando  la  informacidn  adecuada  sc  aplican  -vegan 
consenga-  criterion  de  sclcccidn.  ordcnacidn.  recuento  y  totaliracidn  pet 
agropimicntos.  cikulcn.  de  todo  tipo.  desdc  cstadfsticos  comunes  (media, 
desviacidn  tfpica.  valorcs  minimo.  misimo.  primero  y  Ultimo.  etc.),  hasta  lot 
mis  sofisticados  algoritmos. 

Si  estc  plantcamicnto  se  consigue  trasladar  con  rigor  a  una  aplkacidn  informilica 
y  los  usuanos  la  manejan  con  soltura  y  con  profesionalidad,  la  ocganiracidn  a  la  que 
pcncncvcn  contari  con  un  importantc  factor  de  evito  cn  cl  desanollo  dc  su  actividad. 

Sin  embargo,  ni  cl  rigor  cn  la  crcactdn  de  la  aplicacidn  ni  la  profesionalidad  cn  d 
uno  de  la  misma  pueden  scr  garanti/ados.  Ademis  la  profesionalidad  no  inmuntza 
contra  cl  cansanoo  y  el  cstrds.  Asunudo  csti  tambidn  que  dc  humanos  cs  equiv-ocarse, 
cometer  err  ores  y  omisiones  insoluntanamentc  Y  tampoco  cs  imposiblc  que  en  an 


numrnio  dctcrminado  un  cmplcado  descootcnto  cometa  mores  intcncionadamcnte  o 
qac  ouo.  en  apuros  ccontaicos.  sucumba  a  la  tentacidn  dc  internal  un  fraodc  pcrfeclo 
ti  constdcra  minima  la  probobtlidad  dc  set  descubierto,  lal  y  como  funckma  el  sistcma 
y  la  orgamracidn.  que  pucdc  no  estar  dando  muestras  de  cjerccf  un  control  micmo 
njutoso. 

Y  no  son  tsxas  las  tliucas  amenazas  al  normal  cumplimicnio  de  la  fmalklad  de 
uestra  aplicacidn: 

•  La  posibtlidad  dc  fallo  cn  cualquicra  dc  los  elemenios  que  intcrvienen  en  el 
proceso  informitico:  software  multiple  pcncncsientc  a  diferentes  firmas, 
computador  central  y  dispositivos  pcnfencos.  transmisidn  dc  datos 
tservidoees.  modems.  lineas  de  comunicacioncs.  etc.)  constituye  otra  fuente  dc 
poxiMcs  riesgo*. 

•  La  conexidn  cada  \rz  mis  generali/ada  de  las  empresas  a  entontos  abiertos 
como  la  Internet  multiplica  los  riesgos  que  amcnazan  la  confidencialidad  e 
integridad  de  la  informacidn  dc  nucstrus  sistcmas.  Y  en  cste  caso  el  ntimcro 
dc  interesados  cn  descubrir  dcbilidades  que  Jes  a  bran  las  puertax  para  enredar 
y  manipular  la  informandn  a  la  que  scan  capaces  de  acceder  no  ttene  llmites. 

Todds  esas  amrnaza  *  V  cualquter  otra  que  pueda  ser  idenlipcada  contra  el 
contact  junaonamttnto  de  nuestra  aplicaciOn  y  la  consecution  de  sus  objetivos.  turn 
4tMo  ser  objeto  de  un  andlisis  minucioso  ya  desde  la  fuse  de  su  conception.  Para 
ola  una  dc  cllas  se  habrin  dcbido  cstudtar  las  posibles  medidas  tendentes  a  eliminar 
lot  riesgo*  que  cntraAan  o.  cuando  menos.  a  reducir  la  probabilidad  de  su 
micnalizactdo  hasta  nisvles  razonablemente  asumibles.  siempre  teniendo  en  cuenu  el 
cento  de  tales  medidas  I  que  no  cues  ten  mis  las  cinus  que  el  manto.  scgtln  cl  dicho 
Wulari. 

Die  has  medidas  son  (undamentalmcntc  medidas  dc  control  intemo  que.  coo 
aricier  general,  consistcn  cn  los  proceskmicnios  para  verificar.  evaluar  y  tratar  de 
pnnti/ar  que  "todo"  funciona  como  se  expera:  dc  acuerdo  con  las  poMticax. 
fcflntw,  noma  y  proccdmuentos  cstablccKlot  en  los  diferentes  frobitoc  de 

npoanbilitl>d. 

En  cl  terreno  de  una  aplkocidn  informitica.  el  control  intemo  se  matcrializa 
Imlaircnulmcnic  cn  controles  de  dos  lipos: 


Controlet  manuales :  a  rcali/ar  normal  mente  por  parte  de  personal  del  Area 
usuuna:  actuacioocs  previsus  para  asegurar  que  -en  su  caso-  sc  preparan. 
auton/an  y  pcoccsan  lodas  las  operacioncs.  se  subsanan  adccuadamcntc  todos 
los  errorcs.  son  cobe rentes  los  resultados  de  saltda  respccto  a  rcferencias 
disponibles  sobre  los  datos  de  entrada.  y  las  bases  de  datos  que  dan  soponc  a 
la  aplicacidn  manticnen  en  los  niveles  debtdos  diferentes  indicadorcs  dc 
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mcdkidn  de  \u  imegrxbd  y  totalklad  (ntlmero  do  rtgistros  ett  archive*  yh 
tablas.  dc  relaciones  o  indices.  totalcs  dc  magnitudes  numAien. 
coociliacionc*.  etc.). 

•  Controlcs  automatical:  incorporates  a  los  program)*  de  U  aplicacido  qte 
sirs  an  de  a>uda  para  trutar  de  asegurar  qoe  la  informacidn  sc  regtttt  j 
mantenga  complcta  y  exacts,  los  proccsos  de  todo  tipo  vohre  la  mtsmi  teat 
corrector  y  su  utili/acidn  por  pane  de  los  usuario*  rcspctc  los  imbitot  de 
conftdcncialidad  cstablecidos  y  pemuta  poncr  cn  prioica  principios  genenki 
dc  control  interno  como  el  referentc  a  la  scgrcgacibn  d*  (undone*. 

Controlcs  que.  segOn  vu  finalidad.  sc  vuelcn  claxifkar  en: 

•  Controlcs  preventivon:  Tratan  de  ayudar  a  evilar  la  produccidn  de  enoreti 
base  dc  exigir  cl  ajuvtc  dc  los  datos  introducidos  a  patrones  dc  formate  y 
estmeturu  (date  numdheo.  fecha  vilida.  etc.),  pcrtcnencia  a  una  list*  de 
valores  vilidos  o  a  un  arckivo  maestro,  tango  entr:  Kmitcs  deierminadot. 
mcorporacuVn  de  dfgitos  dc  control  en  datos  clave  (ctdigos  de  identificacida. 
refer  one  las  de  documentos.  nomenclaturas,  etc.)  y.  en  general,  cualquer 
crilcrio  quo  ayude  a  asegurar  la  corrccodn  formal  y  svrosimilitud  de  los  duet 
(la  exactitud  vdlo  psiede  ganuntizarla  el  usuario). 

Son  dc  gran  utilidad  las  comprobacioncs  de  conjuntos  de  datos.  buscando  at 
compatibilxlad.  adecuacidn  y  cohercncia  (por  ejemplo.  una  cuenta  de  carp) 
poede  no  ser  compatible  con  un  tipo  dc  instaladbn). 

•  Controlcs  detect! von:  Tratan  de  descubrir  a  posteri«n  crrorcs  que  no  hayi 
sklo  posiMe  evitar. 

•  Controlcs  corrrctlvos:  Tratan  de  asegurar  que  sc  suksanen  todos  los  mem 
idcntificados  mediante  controlcs  detectivos. 

Y  que  pueden  ser  utilizados: 

•  En  las  transacciones  de  recogida  o  toma  dc  datos. 

•  En  todos  los  procesos  de  informacidn  que  la  aplicackSr  reali/a 

•  En  la  generacidn  de  informes  y  rcsultados  de  salida 

Rues  b»en.  como  apuntibomos  hacc  un  momento.  ya  cn  c  diseAo  de  la  aplkacife 
se  debit)  haccr  un  estudio  a  conciencia  para  teleccionar  dc  entre  los  posibles.  y 
teniendo  en  cuenta  su  como  f rente  a  su  previsible  efectividad  sontra  el  riesgo  que  tntt 
de  contranestar.  Ion  controlcs  consider  ados  iddneos  para  cadi  situacidn  planteadi  ta 
los  diferentes  pasos  dc  fundomamiento  de  la  aplicacidn. 


www.FreeLibros.me 


(tfimo  iv»  AinmMilA  ot  *nx~AOt>yfcs  ut 


F.ue  cvtudio  dcbtO  w  propoevto  por  lov  rccponcablcv  del  irra  inform  ilka 
-contando  siempre  ca  el  dtveAo  con  la  participation  de  repreventante*  de  U 
orgam/acidn  uvuana-.  reviutio  por  perional  de  auditoria  interna.  v  aprobodo  en 
ultima  mviancia  por  U  direction  de  U  organization  uvuana.  miuma  reponvablc  de  U 
aplicaciOn. 

tv  importante  rccalcar  la  convemcncia  de  la  participation  de  Atditorfa  interna 
(con  un  car  icier  miv  general  que  Auditoria  informitica)  cn  la  revividn  Ce  lov  controls 
dneftadov  durante  cl  devarroilo  de  la  aplicacido  Suv  rcoomendacMticv  deben  ver 
ooeuderadav  -aunque  la  decisadfl  final  en  ca*o  de  divcrcpancia  debt  radicae  en  la 
erganieacida  uvuana-  Lo  que  evti  (uera  de  toda  duda  ev  que  vena  iremendamente 
ait  cotiow,  tener  que  mcluir  cualqoier  control  una  vc/  finali/ado  el  drvarrollo.  como 
modification.  porque  ce  puticra  de  mimficvto  mi  nccevidad  como  remltado  dc  una 
auditoria  posterior  a  la  implementation. 

La  participation  de  Auditoria  interna  en  el  devarrollo  de  un  vivtcmi  informitico 
debe  tener  un  alcance  mdc  amplto  que  el  referente  al  uttenu  informitico.  ya  que  debe 
conlemplar  no  MHo  lov  nevgov  rclacionadov  con  la  aplicaciOn.  vino  todov  lov  que 
puedan  afcctar  al  procevo  complcto  al  que  la  mi\ma  sirve  dc  Herramiema.  podicndo 
proponcr:  que  la  aplicaciOn  rcgivtrc  information  cvpccifica.  “pfctuv  dc  auditoria”, 
pin  facililar  la  futura  auditabilidad  del  procevo  rcvpccto  a  tales  novp*  Lo  mivmo 
cabe  dccir.  en  cuanto  al  requenm  lento  dc  pi  Mar  de  auditoria.  para  facditar  lav  futurav 
auditorial  informiticav  de  la  aplicaciOn 

Devpodv  de  lo  expoevto.  pndemov  centrar  la  problemitica  dc  la  auditorfa  de  una 
aplicaciOn  vc  trata  de  rcali/ar  una  rev  ivkin  de  la  efieaeia  del  funclommicnto  dc  lov 
controlrv  divrriadov  para  cada  uno  de  lov  pawn  de  la  miema  frenlr  a  lov  rirsgov 

que,  tratan  de  riiminar  o  minimi/ar.  como  mcdiov  para  asegurtr  la  fiabilidad 
iMatuiad  y  exactitud).  leguridad.  dnpombilidad  y  confident  ialidad  de  la  information 
gfUionada  por  la  apUtattOn. 

Elio  obliga  a  replant  carve  nuevamente.  y  con  cariclcr  previo.  vi  lov  prcptoc 
nevgov  tentdov  en  cucnta  en  mi  moment o  von  lodoc  lov  poviMev  o  m  deicctan  otrov 
uaev ov  unov  y  otros  deben  ver  evaluadov.  analieada  la  probibilidad  dc  vu 
oateriali/aciOn  y  mu  convecuenciav  previvtblev.  de  can  a  rcconuderar  vi  lov  controlcv 
■plantadov.  tal  como  ectin  acluando.  vuperan  con  garantiav  de  Oxito  la  cxpoviciOn  a 
unraarac  percibida  en  la  vituacidn  actual. 

Qaede  bicn  entendido  que.  por  muy  completa  que  revultc  la  revition  que  hagamov 
de  una  aplicaciOn  informitica  y  de  lov  controlev  que  mcorpora.  no  cc  vufictcntc  para 
prmti/ar  la  vegundad  de  la  mumar  evta  vc  coruolida  con  la  reali/aciOn  de  una 
evaluation  dc  lov  controlcv  genera  lev  y  una  reviviOn  de  lov  controlev  dc  la  funciOo 
■dotmitica.  que  evtarin  rccogidov  en  el  Plan  de  trahajov  de  auditoria  informitica 
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19.3.  HERRAMIENTAS  DE  USO  MAS  COMUN  EN  LA 
AUDITORIA  DE  UNA  APLICAClbN 

Antes  de  nada  convicnc  hacer  hmcapi*  cn  quc  la  trcmcnda  ctolocidn  de  In 
tecnolog  fas.  cn  lodo  lo  referente  a  lot  sistcmas  dc  information.  obliga  a  un  etfuera 
considerable  de  formacidn  a  todo  cl  personal  dc  auditorfa  micma.  >  cn  panK'ular  a  lot 
cspccialistas  cn  auditorfa  informant;*  F.stc  rcto  6c he  cstar  asumido  por  la  dircccidn de 
Auditorfa.  quc  dchc  impulvir  la  rcspucsla  adccuada  al  mitmo.  recogida  cn  ■ 
ambicioto  plan  dc  formation,  quc  incluya  la  aicncidn  a  las  nuevas  lendcnciat  y 
prcocupacionev 

Kilo  no  e*  dbice  para  quc.  deniro  dc  la  potftica  dc  la  einpresa.  sc  contempt  b 
pcisibilidad  dc  contratar  la  rcalizaodn  dc  determinadax  auditorias  informal  teas  any 
cspccializadas  (ouisourrinf)  o  personal  auditor  quc  panicipc  cn  trahajos;  pero  sjtra pn 
sera  cunvcnicnte  quc  la  direccidn  dc  todos  lot  trahajos  sea  cooducida.  y  con  sufKicaK 
coooumtcnto  general  aun  cn  I  os  terrus  mis  cspcciali/ados.  por  auditorcs  dc  la  pcopii 
empresa. 

Ilarcmos  un  rccoendo  por  las  henamientas  mis  comunmcntc  utilizadas  cn  b 
auditorfa  dc  la  apltcacidn  informitica  deniro  del  contcxto  quc  hemos  dclimilado  cn  b 
introduce  idn 

lin  ocasiones  sc  podrin  comhmar  s  arias  a  la  ver;  por  cjcmplo  sc  pucdc.  cn  uu 
entrevtsu  con  otro  propdstlo.  aprosechar  la  ocasidn  para  real i car  una  pruehi  dc 
conform tdad  pre vista,  ademis  dc  observar  la  utiliracidn  dc  la  aplicacidn  per  d 
cnlrevistado  e  incluso.  si  isle  cstuvicra  inlcrcsado.  rellcnar  o  comcnlar  una  cocuctti 
quc  sc  Ic  habfa  dirigido. 


19.3.1.  Entrevistas 

Dc  amplia  utili/actdn  a  lo  largo  dc  todas  las  ctapas  dc  la  auditorfa.  las  cntrcvvstu 
dehen  cumplir  una  sene  dc  requisitos: 

•  Las  personas  a  entrevixtar  dehen  scr  aqucllas  quc  mis  poedan  apottar  tl 
propdsito  pretendido 

•  La  cnlrc vista  dchc  ter  preporada  con  rigor  de  earn  a  sacar  el  miximo  partid} 
dcella. 

•  Para  cllo  cs  indispensable  cscribir  cl  guidn  dc  lemax  y  apart  adot  a  tratar  (no  us 
cuestionario  ccrrado).  para  evitar  quc  quede  sin  tratar  algdn  asunlo  dc  inccr& 
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tambiifn  cxige  habcr  akan/ado  cl  nivel  de  conocimienicn  sohre  la  aplicactOn 
ncccuno  cn  etc  momento  para  conducir  con  soltura  la  cnirevista. 

Ha  dc  ter  conccrtada  con  lot  interlocutorcs  con  amelacido  suficicnic. 
informindoks  del  motive  y  las  matcrus  a  tralar  en  ella.  la  duracidn 
aproximada  previrta  v.  en  «i  case,  solicitando  la  preparaetbn  de  la 
documentation  o  information  que  pueda  ter  ncccsano  apocten  durante  la 
mitina:  no  debe  I'altar  la  mvitaci6n  a  colaborar  con  cuaniat  xugcrenciax 
ettinien  oportuno.  no  sdlo  sobre  el  propto  objeto  de  la  entrevitu  tino  umbien 
con  mirjt  mis  amplias  cn  relation  con  el  proceno  global  detarrollado  por  la 
organi/actOn  y  la  aplicaciOn  infonnitica  que  apoya  cl  proccso. 

Las  jefaturat  dc  lax  personas  a  entrewstar  deben  estar  inlormadas  dc  las 
actuacioncs  prevUttv  en  general  xeri  positivo  que  sea  cl  propto  jefe  quten 
cocmmiquc  al  interetado  la  nccctidad  dc  parttcipar  en  la  auditoria. 

Durante  cl  dcsarrollo  de  la  cnirevista.  cl  auditor  tomari  las  anotacioaes 
imprcscindiblct;  lo  mis  pr6\imo  posible  a  la  fmali/aciOn  de  la  enircvista  el 
auditor  debe  repatar  sut  anotactones.  cotnplctando  con  dciallct  que  pueda 
recotdar  aqucllas  que  pud ic tan  hahet  quedado  csbo/adas.  y  rclkxtonaivdo 
xobre  las  posible*  tmplicacionex  dc  las  novedades  o  singulandadet  que  cl 
interlocutor  hay  a  podido  aportar 


19.3.2.  Encuestas 

Puedcn  ter  de  utilidad  lanto  para  ayudar  a  determinar  el  akance  y  objctiso*  de  la 
aodiioria  como  para  la  materializaciOn  de  objehvo*  relacionadot  con  cl  nivel  de 
utisfacciOn  de  los  utuariot. 

Con  las  Idgicat  salvcdade*.  la  mayor  pane  de  lot  requisitot  enumerados  para  lat 
catrevistas  son  lambiln  dc  aplicaciOn  para  lat  cncuctUt. 

•  Kn  et«c  cavo.  sin  embargo,  tf  que  hay  qoe  preparar  un  cucvtionano  que  pueda 
ter  contestado  con  la  mayor  rap-.de/  a  base  de  marcar  las  respucstas  entre  Us 
posiblcs. 

•  Conviene  que  todas  las  preguntas  vayan  seguidas  de  un  cxpacio  dcsimado  a 
obscrvac  tones,  y  no  sdlo  las  que  toliciien  description  cuando  U  respucsta 
haya  podido  ser  "Otrot  ".  caso  dc  ckceidn  entre  varus  alternant  Al  final 
del  cuextionario  hay  que  solkitar  sugcrenciat  u  obtervacione*  abiertas.  mejor 
en  pdgina  exclusis  a  para  ello.  que  pueda  scr  fotocopiada  por  quicnes  necesitcn 
mis  etpacto  para  sut  comcntarios 
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•  Aunque  no  puede  ni  dehe  cxiginc  U  idcnlificacKSn  personal  del  encucxudo.  d 
dcbe  haccrxc  de  U  orgamraobo  a  la  que  pettenece  (Cuidado  con  los  recueetox 
de  rexultadox  de  la  encuexu  por  organiracibn  que  podieran  qucdar  con  uni 
tlntca  rcxpuexta:  no  dcbcn  ter  obtcmdos,  limiiando,  por  unio.  la  obtcnobo  dr 
talex  recucntox  a  la  coodiobo  de  conur  con  mix  de  una  rcxpuexta  en  <1 
agrupamiento.)  Sin  embargo,  xi  puede  invitanc  a  que  ve  identifiquc  qiaen  t» 
tenga  mngun  inconveiuemc  en  ello.  lo  que  pcrmiiiria  contactox  cnnquccedortx 
u  la  encuexu  conlcxiada  planiea  asuntox  de  interbs. 


19.3.3.  Observacidn  del  trabajo  realizado  por  los  usuarios 

Aunque  por  otroft  mcdiox  puede  I  leg  arte  a  comprobar  que  la  aplicactbn  fannoaa 
con  garantfax  de  eaactitud  y  fiabtlidad.  o  conxcnicntc  obxervar  cbmo  algun  ucuano 
hace  uxo  de  aquellax  tramaccioncx  mis  significant  ax  por  xu  volumen  o  rtexgo:  puede 
ayudar  a  dctccur  que.  aunque  el  rcsultado  final  tea  bueno  y.  por  umo.  Ion  coouoln 
cxtablecidox  tean  efectixox.  la  efictcncia  no  extb  en  el  nivel  bptimo;  no  ex  mfrecuen* 
que  un  auditor  experimentado  idemifique  mejora*  en  exte  tipo  de  obxcrvactonex:  deide 
carcnciax  del  uuiano  o  viciot  adqutndos  que  pueden  denotar  falla  de  formaciba.  ham 
mejorax  de  diteAo  que  puedan  aumentar  la  agiltdad  y  productitidad  en  el  uso  de  U 
aplicacibn:  rccomcndacionet  de  opcionex  o  valorex  propucstos  por  defector 
ximplificactbn  de  pum. etc. 

Dcbe  aproxectiarxc  exta  oponunidad  para  probar  tambidn  la  efectividad  de  ka 
controlex  de  las  tranvacciones  en  cucxiibn.  xoliotando  la  ximulacidn  de  xituactoec* 
prevmMex  de  error  para  comprobar  u  la  mpuexta  del  sixtema  cx  la  experada:  intctao 
de  duplicar  una  operacibn  real,  de  comerer  errorex  de  diferentex  tipox  cn  b 
introduction  dc  cada  uno  de  lox  datox.  etc. 


19.3.4.  Pruebas  de  conformidad 

De  uto  general  en  todo  el  campo  dc  la  auditorfa.  ton  actuacioncx  ooenladu 
expectTicamentc  a  comprobar  que  detemunadox  proccdtimentox.  normat  o  controltx 
mtemov  pamcularmcnte  lox  que  merccen  confian/a  de  esur  adccuadamente 
euableodox.  xe  cumplen  o  funcionan  de  acucrdo  con  lo  previxto  y  experado.  xegiin  b 
dexento  en  la  documcntacibn  opmtuna 

La  comprobacibn  debe  llevar  a  la  cxidcncia  a  travbx  de  la  inxpcvcibo  dc  l« 
rexultadox  producidox:  regixtrox.  documentox.  conciliacioncx.  etc.  y/u  ohservaoia 
directa  del  funcronarmcMo  de  un  control  ante  pruchax  expeclficax  dc  ta 
comportamiento. 
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•  La  cvidcncia  dc  incumplimicmo  pucdc  ser  puetta  «Jc  nunifiexto  a  travds  de 
informe*  tie  excepcidn. 

•  Lot  testimor.ius  tie  incumplimicnto  no  tmplican  cvkIcocu  pero.  u  patten  dc 
sanas  personas.  es  probable  que  la  organi/acida  asuma  como  vllidox  die  hoe 
testimonies  y.  por  tamo,  las  consccucncia*  que  de  kn  tnismot  ptxl  sc  ran 
dens  arse  dc  cara  a  povibles  rccomcndaciones.  ahorrando  esfucr/os  para  iratar 
de  comcguir  su  confirmacidn  documental. 


19.3.5.  Pruebas  substantivas  o  de  validacidn 

OnetUadas  a  detectar  la  presencta  o  ausencia  de  errorc*  o  irrcgulandadcx  cn 
fneews.  activ idadcs.  transaccioocs  o  controlc*  i memos  imegrados  cn  ellos. 

TambiCn  pertcnccen  al  dominio  general  de  la  auditoria 

F.tUn  especialmcntc  indicadat  en  situac tones  cn  las  que  no  hay  essdencta  de  que 
antan  coo  doles  inicmos  relevantev  suftcicmcs  como  para  garantizar  el  correcto 
fucxinamicnto  del  proceso  o  elemenlo  considcrado 

•  Todo  tipo  dc  error  o  inctdcncta  imaginable  puede  scr  objclo  dc  invcstigacidn 
en  etta  clase  de  pruebas.  lin  cl  imbito  de  la  auditoria  de  una  aplicacidn 
mformitica.  irrcgularidadcs  dc  diverxa  Indole  que  pueden  afectar  a  las 
tran vac  Clones: 


-  Transacctones  omitidas,  no  registradas  en  el  si  sterna 

-  Duplicadas.  registradas  mis  de  una  vet 

-  Inexistentes  indebidamcnte  incluxlas 

-  Registradas  sin  cental  con  las  autonracioncs  establccidas. 

-  Incorrectamente  clasificadas  o  cootabtli/adas  en  cucntas  difcrentcs  a  las 
procedemes. 

-  Ttansacciones  con  information  errOnea.  desde  su  on  gen  o  por  alleracidn 

posterior,  que  no  rcflcja  la  rcalidad.  con  posibks  consccuciKias  cn. 

•  El  montanlc  o  fcchas  de  devengo  incorrcctas  de  derechos  y  oMigaciones 
de  la  empresa  respccto  a  lerceros. 

■  La  exactitud  dc  las  saloracioncs  contablcs  o  la  falta  de  conciliacsdn  con 
ellas  dc  la  comcnida  cn  la  A  plicae  tdn 

*  La  exactitud  dc  las  medtetones  fisicav  con  posible  desajustc  respccto  a 


www.FreeLibros.me 


«  IHIfUlMlHHUIIft  IN  KSKXyT  rKCCTKO 


Inftmdad  de  recurvo*  pucdcn  vcr  par*  detectar  indiciov.  en  pram 

inuancia.  Ac  posibicv  crrorcv  intfccio*  cu>  a  prcvencu  dcberi  llo*  i 

profundi/ar  cn  U  mvevtigaoOo  para  conMaiar  U  cxiocncia  real  de - -Jin 

Much***  de  elkvs  *e  ap oyan  cn  la  utili/ackin  del  compuradoe: 

Anihuv  de  ralxsv.  asi  como  fluctuacione*  y  lenderviav  cn  magnitude*  qte 
midcn  avpectov  rclaoonadov  con  la  actividad  dcsarrollada  en  lo*  proccicu. 

Cone  iliac  tones  con  pariMla*  que  a  tfecto*  de  control  puedan  I  lev  arse  ea  b 
propia  apticacidn  o  de  Mm  tiucmav.  como  d  ccondmico-fwanciero. 

-  Informc*  de  cxcepcton  prodoc ido*  por  la  propia  aplkacton  para  idcnuficar 
Mtuaoonc*  que  iitterc*a  scan  ohjeto  de  reviddn  A  pane  de  lo*  dr 
oNencidn  rutinana  prcsiMo*  en  el  *i*icma.  dcbicra  di*poncr*c  de  coca 
e*pccilicm  para  la  rcalieaodn  de  auditorial  plantcado*  dc*de  la  etapa  de 
divebo  para  poder  ejeevur  a  demanda. 


O tro*  recur****  cIAsko*  utili/ado*  para  la  detevcidn  de  erroee*  o  mi*  imlxiot 
*on  de  cjccuctoo  manual.  Normal  me  ntc  *e  aplican  vobre  mocumv.  cMadtaka 
y  no  eitadiuica*. 


Para  la*  pnmera*  cvidcnteinenic  son  de  aplicacidn  la*  idcnica*  de  mucstrco 
euadivtico.  que  deberin  *er  re*petada*  para  el  cllculo  del  umafto  de  la* 
mueura*  y  *u  icIecciOn  en  funcidn  del  nivel  de  sigmficacton  y  cm* 
miumo  coo  que  inierese  trabajar  en  cada  caso 


-  La*  muc*tra*  no  cMadbbca*.  dingidav.  ba varan  la  acleccton  en  la  buvyxdi 
de  la*  opcraooocv  con  mayor  probabitidad  de  error  y/o  con*ecucnc**t  mb 
grave*,  previo  anilivi*  de  la*  condKioocs  de  la  informacidn  ditponiMc  ipe 
permit. in  compcner  un  indkadur  de  prioriracidn.  asignando  puntuacione* 
al  cumplimiento  de  detemunada*  condKiooc* 

Ejcmplo*  de  ctfos  recurvo*  de  cjccucidn  manual  son:  Arquco.  Inscnuro, 
Inspeccidn.  Comprobacidn  con  lo*  document***  soporte  de  la  IranvacoCo 
(factura.  albarin.  etc  )  y  Confirmacido  de  soldo*  por  pane  de  lerceru*  (cbcaici 
y  provcedorei). 


19.3.6.  U:K>  del  computador 

•  FJ  uso  de  computadorev  convtituyc  una  de  la*  hcnamieiHav  mi*  *al*o*a*  «  b 
rcali/acton  de  la  audiioria  de  una  apticacidn  mformiiica.  No*  refemnos  uato 
a  lo*  computadorev  personate*,  con  los  que  el  auditor  informitico  debc  esur 
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familiari/ado  morse;  xrxJo  con  soltura  lat  ucnicit  de  edscidn  dc  lex  ten  y 
prtscntacionc*.  hop  tie  cikulo.  gettor  de  tom  dc  dates.  coaoo  elect  rdmeo. 
etc.,  corao  al  consputador  u  compu  (adores  sohre  kn  que  sc  cxplota  la 
aplicacidn  objeto  de  la  auditorfa. 

Exittcn  en  el  mere  ado  infintdad  de  product  os  de  software  corscebidos  para 
factlitar  la  urea  del  auditor  Herramienus  que  prmutrn  el  acccso  generali/ado 
a  la  informactta  contemda  en  arthisos  y  hates  de  datot  de  forma  transparente 
para  el  usuaoo  y  con  independent  ia  de  las  caracicntiicat  de  organi/ackin  y 
modo  de  almacenanuento  Muchos  de  estos  product  os  ir  pretentan  como 
"hcrraimentas  de  auditorfa".  ya  que  incorporan  faciltdadcs  tfpicas  de  esta 
funcidn  como  pueden  ter  la  genetacido  de  mucstrat  esudisticav,  ediodn  de 
circulanzacionc*.  etc 

Sin  rettar  tu  valor  a  etlot  pcoductos.  y  detde  la  dptica  del  auditor  I  rue  mo.  sc 
pueden  obtener  resultadot  timilaret  haciendo  uso  de  herramienus  disponiMet 
en  la  organiiacidn  y  no  nccevanamemc  disclVadas  para  funcionet  de  auditorfa 
Contando  con  una  herramienu  de  iatcnofacida.  un  lenguaje  SQL  iSintctmrcJ 
Query  IcmxuaxfK  %e  poede  accedcr  a  la  utformaodn  y  seleccionar  la  que 
intcrcsc:  tu  proceto  posterior  a  trivia  de  un  geslor  de  hate  de  dalot.  npo 
ACCESS  o  similar,  ofrece  un  potencial  de  traumicMo  pricticamente 
ilimrudo. 

U»  pittas  de  auditorfa  de  que  ett <  provitu  la  aplicacidn  dchen  constituir  un 
apoyo  imporlanle  a  la  hora  de  utilirar  cl  computador  para  detecur  tituacionrt 
o  mdtciot  de  posiMc  error.  Lo  mssmo  cahe  deeir  de  kn  inf  orrises  dc 
cxccpcidn.  parncularmente  kn  ditcAados  espccfficamcntc  para  prnpdtiiot  de 
auditorfa 


Tamhiln  hay  que  contiderar  la  potibilidad  dc  utilnar  la  propia  aplicacidn. 
aplicando  juegos  de  ensayo  o  transacciones  ficticiat  preparadas  por  lot 
auditores.  para  verificar  la  cficacta  de  lot  controles  implaruadm.  Ette  npo  de 
pruchat  no  rt  siempre  rocomendahle.  sobre  todo  si  no  ha  skJo  previtta  tal 

tualinfOKu  dunnK  U  clap*  dc  dttcAo  dc  b  aplicwcidn 
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19.4.  ETAPAS  DE  LA  AUDITORIA  DE  UNA  APUCACibN 
INFORMATICA 


19.4.1.  Rocogida  de  informacion  y  documentation  sobre  la 
aplicacidn 

Ames  dc  plantcarnos  cl  akance  de  los  crahajos  dc  auditoru  sobrc  apiicaocect 
informitkas  ncccsitamos  dispooer  dc  un  conocimicnto  Mum  sk  la  aplkacidn  y  de  n 
entomo.  Rcalixamos  un  cstudio  prclmunar  cn  cl  quc  recs-gcmos  loda  aqucib 
information  quc  nos  pucda  scr  did  pan  dctciminar  k»  puntos  sJdbilcs  existences  y 
aq  Dellas  funtioncs  dc  la  aplic*ci6n  quc  puedan  eniraAar  nesgos. 


A  travds  dc  encrevistas  con  personal  dc  los  cquipos  responsible*  dc  la  aplicaota, 
lantu  desdc  la  organization  usuana  tomo  dc  la  de  Sistcmas  dc  nformatkn.  sc  uucu 
cl  proccso  dc  rccoptlacidn  de  information  y  dxumcntaciOn  quc  permitira  profundim 
cn  su  conocinucnlo  hasta  los  nivclcs  dc  cxigcncia  necesario*  para  la  realization  del 
truhajo;  y  cn  una  primera  fasc.  hasu  cl  nisei  de  aproximatidn  safitknlc  pan  cstar  c# 
disposition  de  cstahtcccr  y  consensual  los  obyetisus  concrctos  dc  la  auditor!*. 


El  primer  rcto  con  el  quc  nos  cncontramos  cs  cl  dc  idcntificar  las  personas  mis 
adccuadas.  cn  cada  uno  sic  los  imb-.tos  de  organization.  pan  podcr  transmit ir  al 
responsible  dc  la  audttoria  cl  conotimiento  mis  amplso  posiblc  dc  la  aplicactdo.  nts 
fortalc/as.  posiblcs  siebilidadet.  nesgos  c  inquietudes  suscitadas  en  tomo  a  clla. 


Idcntificaslas  dtchas  personas  sc  intenta  crcar  un  ambtenic  d:  colaboraciOn.  con  d 
fin  de  quc  Iran smi tan  al  cquipo  auditor  su  visidn  personal  sic  U  situation.  aponando 
cuantas  sugcrcncias  estimen  sic  interds.  ademis  de  sumimstnr  b  documentation  quc 
sc  Jes  solicitc  y  estdn  cn  skiposiciOa  dc  proporcionar. 

Para  cubrir  esta  eta  pa  del  trabajo  de  auditoria  rcsulta  util  ccnfccckxw  unas  gulas 
quc  nos  penmtan  seguir  una  determmada  pauta  cn  las  piimens  entrevistas  y 
contcngan  la  relation  dc  documents)*  a  solicitar  lodos  aquelfos  quc  ayuden  a: 

*  Asiquirir  una  primen  vision  global  slcl  u sterna:  Dcscipckn  general  sic  U 
aplitaciOn.  prcsentacioncs  quc  ha>  an  podido  rcalt/arsc  sic  la  aplicaciOn  con 
distintas  tinalidadc*  a  lo  largo  dc  su  visla.  Plan  dc  Sistcaia*  sic  la  empresa.  a 
k>  quc  rcspccta  a  la  aplicacisin  a  audiur.  cn  dl  deberin  ligurar  c.vplicitamcnie 
sus  objctissM.  planes  y  prcsupucstos  (Un  documcnto  dc  gran  trasccndcncia 
por  su  repercusido  cn  la  cPscacia  cn  el  uso  sic  la  aplkaciOo  cs  cl  "Manual  dc 
usuario":  Conccbtdo  tomo  soportc  a  la  formaciOn  cn  d  uso  dc  la  aplicaoOn 
informitka.  ilebc  scr  claro.  complcto  y  cstar  bicn  cslructurado  para  facililar  su 
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consults  Fa  fundamental  quc  cstd  actualirado  al  dia  y  en  mi  opinion 
imprctcindiblc  quc  lot  usuanot  pucdan  accede r  a  <1  a  tratdt de  la  red.) 

Conocer  la  organiracidn  y  k»  proccdimientot  de  lot  wem  quc  utili/an  la 
aplicacidn.  Mcdiantc  cl  examen  de  htia  de  personas  o  die  hoc  servicios. 
organigrams  dc  lot  mitmot  y  dcpendencia*  funcionalct  entrr  cllot.  batet  de  la 
organiracidn  y  de  la  teparacidn  de  fuoooocs,  grade  de  purticipactdo  dc  lot 
usuanot  cn  cl  dctarrollo  y  cn  lat  proebas  dc  la  aplicacidn.  mcdidas  genera  let 
de  control  (proteccidn  Utica.  proteccidn  Idgica).  pel  idea  de  formacidn  y 
scnsibiliracidn  dc  lot  usuariov  grade  dc  tautfaccidn  de  lot  usuanot.  etc. 

Detcribir  el  entomo  en  cl  qoe  tc  dctarrolla  la  apltcactdn:  ccnecer  returces  de 
computador  central  atignadot.  mi  mere  dc  mini  o  micro  computadorct 
atignadot  total  o  parcialmente  a  la  aplicacidn.  cantidad  de  rccurtot  periftneos 
atignadot.  configuracidn  de  la  red  y  dc  las  Uneat  dc  comuncaooocs  utad.iv 
etc. 

F.ntcndcr  cl  entomo  de  toftware  bitico  de  la  aplicacidn.  identificando  lat 
tegurtdadet  quc  ofrece  y  lot  net  got  inducidov 

Aumilar  la  arquitcctura  y  caractemncxs  Idgicas  de  la  aplicacidn.  lit  necctano 
conocer  lot  principles  tratamicntot  y  edmo  cstln  etuvewrados  lot  dates: 
programat  clave  de  la  aplicacidn.  lenguaje  y  mCtodo  dc  programacidn. 
archivos  maettrot.  bates  dc  datot  y  diccionario  de  datov  nt»do  de  captura.  dc 
validacidn  y  de  uatamiemo  de  lot  datov  informet  (littados  gencradot  por  la 
aplicacidn.  at(  como  la  periodicidad  de  lot  difercMcs  tratamirntos. 

Conocer  lat  condicionet  de  explotacidn  de  la  aplicacidn  y  os  net  got  quc  tc 
pueden  dor  Ex  decir.  ti  la  aplicacidn  la  expiotan  dircctamcnle  lot  usuanot  o 
depende  de  lot  tervicios  infomutivos.  volumcn  de  captwav  volumen  de 
informacidn  almaccnada  en  lot  archivot  maettrov  scgundaces  de  explotacidn 
(accesot.  talvaguardiav  etc.),  piamficacidn  y  organiracien  general  de  la 
explotacidn.  caraclcritiicat  generalcs;  liempot  de  retpuetta,  frecucncia  y 

natural# /j.  da  Uc  inciibiiCMi,  duncidn  dc  to*  proccro*  batch 


Conocer  Ut  condicionet  de  teguridad  de  quc  dispone  la  aplcacido:  condoles 
quc  incorpora,  dcfinicidn  dc  pcrfilct  dc  acccto  a  lot  rccurtot  y  a  la  aplicacidn. 
existcncia  dc  pittat  dc  auditoria.  grade  dc  automaferacidn  (minima 
intervcncidn  humana).  documcntacidn. 

Ditponcr  dc  informacidn  relauva  a:  bttadisticat  dc  tiempet  de  explotacidn 
para  cada  proccvo.  dc  tiempos  dc  rcspucsta  de  tramaccbncs  on  line,  dc 
liempot  de  rcproccto  por  (allot  o  emvev  liempet  dodicadot  al 
mantcmmicnto.  informes  dc  gettidn  dc  lot  accesot.  informrt  dc  teguimienio 
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dc  Ut  talidas.  prorecciooct  ilc  lot  recur**  atignadot  i  b  aplicacidn.  periila 
de  acceto  a  lot  recur**  dc  la  aplicacidn. 

KcmiIu  convenience  que  cl  auditor  volicitc  lot  documcntot  formaloxtfc. 
fucilitando  mi  rclackWi.  y  que  <ttot  le  tcan  tuminittradot  en  *ponc  informfcica  n  la 
medida  dc  lo  posible 

Mem.*  citado  capKcitamcntc  \6lo  unot  cuantot  document*,  por  problems  de 
cvpacio,  rclacionando  lot  lugarct  comunct  qoc  deben  cibnr  Adtcioailmetae 
cualqutcr  informc.  comunicacidn  o  acta  de  grupot  de  trabajo  que  puedaa  nor 
iipplicadot  en  larcat  de  rcmgenicria  de  procetot,  circuit*  de  c alidad,  reejea 
permanence  o  cualquicr  otra  iniciativa  iwtovadora  cn  cl  Irea  de  negooo  a  la  que  tine 
la  aplicacKfei.  terin  dc  gran  utilidad  para  cl  auditor  cn  tu  corocudo  Proccderi  en  cuoi 
casos  contactor  con  lot  retponvablct  de  lalct  pruyectov  pant  potential  lat  tinerpaa 
que  turgirin.  ennquet  lendo  lot  retultadot  dc  todot. 


19.4.2.  Determinacibn  de  los  objetivos  y  alcance  de  la 
auditoria 

F.I  etamcn  dc  lot  documcntot  recopiladot  y  la  revitido  dr  lot  temat  tratadot  a  la 
largo,  dc  lat  entrrtistas  mantemdat.  et  decir.  lat  obtervacionet  trat  el  cuma 
prcliminar.  la  identificacifa  de  los  puntot  dCbilet  y  las  fuxionet  critical.  deha 
pemutirle  ol  auditor  ettableccr  tu  propuetta  de  objelitot  de  la  auditoria  de  la 
oplK'oodn  y  un  plan  detallado  del  trabajo  a  reoli/ar  EtMcndenot  que  dcdicando  mb 
recur**  cuanto  mayor  tuero  la  dcbilidad  o  mot  gratet  lot  contccucnctat  de  la 
omenu/o  que  tc  tometc  a  ret  itiOn 

Et  de  deteor  que  lot  objetivos  propucstm  tcan  coascafuadoa  con  cl  equip 
rctpontablc  dc  la  apticacidn  cn  b  organ  ■  roc  km  uvuana 

Es  prtcito  contcguir  una  gran  clahdad  y  prccitidn  et  b  dcfimctOn  de  Im 
objelivot  de  b  auditoria  y  del  trabajo  y  pruebat  que  tc  propote  rcali/ar.  dclmuuad) 
pcricciamcntc  tu  alcance  dc  mancra  que  no  otrercan  ouoav  dc  interpretation 

En  b  preparation  del  plan  dc  trabajo  trataremc*  dc  incluir 

•  la  pbniftcaddn  de  los  trabajm  y  el  tiempo  a  emptear.  or  den  en  que  K 

cxominarin  los  diferentes  acpcctot.  centre*  dc  trabajo  cn  que  tc  «aa  a 
dctarrollar  lat  pruebat.  cargat  de  ticmpot  y  attgnaewn  de  lot  irahajot  rata 
lot  diferentet  cobboradoret  del  cquipo 


I 
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I  as  hrrramirnU*  v  nWtodat,  caucviMv  coo  los  imunm  y  kn  informal  icos. 
vffVKiw  que  sc  vm  a  auditar.  divumcntm  que  hay  que  obtencr.  etc. 

Kl  programa  dc  Irabajo  dctallado.  adaptado  a  Ian  pctuliandadcs  dc  cada 
aplicactdo.  pcn>  tratando  dc  seguir  un  esquema  tipo: 

-  IdcrKificacidn  y  clasificacidn  dc  k>*  objetisos  pnnopalcs  dc  la  auditona 

-  Dctcrminacidn  dc  subobjetivos  para  cada  uno  dc  kn  objetisos  genereJe*. 

-  Asociacide.  a  cada  subobjctiso  dc  un  con  junto  dc  pregunu*  >  trahajo*  a 
rcali/ar  teniendo  cn  cucnta  la*  particulandades  del  cotorno  y  dc  la 
aplicacidn  a  auditar 

-  Dcvanollo  dc  leinat  como: 

♦  Modot  dc  capture  y  taliiltcidn 

♦  Soponcs  dc  Ion  datos  a  capturar 

♦  Coot  roles  sobre  kn  datos  dc  entrada. 

♦  TrjtamktuodeciTorcv 

♦  Controtc*  sobre  k>*  tratamicnio*  secucncia  dc  programa*.  valorc* 
caractcmucos.  controls  dc  serwdn.  cxactitud  dc  los  cilculo*.  clc 
Controlc'  dc  Us  valid**:  cUsifkaodn  y  ventWaadn  dc  las  valid**: 
prescntacidn.  distnbuoOn.  divefto  y  forma  dc  los  list  ados. 

♦  Pi 'Las  para  control  y  auditona 

♦  Salvaguardtav 

Tests  dc  confirmation,  lest*  sobre  los  daton  j  los  resullados.  Aquclkn  que 
considcramos  ncccsanos  para  asegurar  que  los  coot  roles  functonan  como  sc 
han  desento  y  pres  isto.  y  que  los  controtc*  intemos  son  aplkados 


Ejmtpkn  dr  objetisos  dr  auditoria*  dr  aplicacionrs 

A  modo  dc  cjcntplo.  scAalarcmos  las  Ifncas  macstras  (no  servirfan  como  objetisos 
Kate*  por  incumplirmcnto  dc  los  requisite*  cnunciados)  dc  algunos  objdivo*  que 
pxdcn  cstablcccrsc  cn  cstc  tipo  dc  auditona*  dc  aplicaciooes  informitica* 

I.  Kmitir  opinion  sobre  rl  cumplimiento  dc  k»  objetisos,  planrs  y 
prrsupurstos  contrnidos  en  rl  PUn  dr  Sislrmas  dr  Inform  acidn  sobre  la 
aplicacidn  a  auditar 

l.l.  Cumplimiento  dc  los  pla/os  previstos  cn  cada  una  dc  las  fascs  del 
Proyccto:  bstudio  previo.  Divfto,  Programaodc.  Prueh**.  Convenudn 
cn  su  ease.  Plan  dc  formaesdn  c  Implanlactdn. 
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1.2.  Cumplimiento  dc  I  os  prcsupuestos  previstos  en  cada  una  de  Us  (mo 
cnumcradas  >•  para  coda  uno  dc  los  conccptos  mancjados:  equipcs, 
software,  contraiactdn  exterior,  personal  propio.  etc. 

1 .3.  Cumplimiento  de  las  prcvi.tionrs  dc  caste  dc  funcionainicnto  normal  de 
la  aplicacidn  y  de  su  mantenimiento  al  nisei  de  dexglose  adecuado. 

2.  Ksaluar  el  nisei  de  satisfaccidn  de  las  usuarios  del  sistema,  tanto  de  b 

linea  operativa  como  de  las  organlzactoncs  de  coordinacidn  y  a  pot* 

respect o  a  la  cobertura  ofrecida  a  sus  neeesidades  dc  informaridn 

2.1.  Nivel  dc  cobertura  de  funcionalidadcs  impkmentadas  respccto  al  total 
de  las  posiblcs  y  dc  scabies  en  opiotdn  de  los  usuarios,  incluyendo  a  d 
conccpio  de  funcionalidad  la  posibilidad  de  obtcncidn  dc  mfonnes  de 
gestidn  y  de  indicadores  dc  seguimicoto  de  las  actividades  dc  b 
organizacidn  usuaria. 

2.2.  Nivel  de  satisfaccidn  con  el  modo  de  operur  las  ifcfcrcau 
funcionalidadcs  soportadas  por  b  aplicacidn.  incluyendo  los  ditcAos  de 
pantallas  e  informc*  de  salida.  mensajes  y  ayudas:  idcntiricaddn  de 
mejoras  posiblcs. 

2.3.  Nisei  de  satisfaction  con  la  formacidn  recibida  para  el  uso  de  b 
apltcacidn.  utilidad  del  "Manual  dc  usuario"  y  funcionainicnto  dc  lot 
canales  cstabiecidos  para  la  resolucidn  de  k>t  problemas  que  surgen  ea 
el  uso  del  sistema  (^Lfnca  calicntc?) 

2  4.  Nisei  del  satisfaccidn  con  los  1  tempos  de  respucsta  dc  la  aplicacidn  y 
coo  la  dotacidn  de  equipos  informiticos  y  sus  prcstaciones. 

2.5.  Nivel  dc  sati%facci6n  con  b  herramicnta  de  usuario  para  proccsar 
information  dc  la  aplicacidn,  cn  cl  caso  dc  disponer  de  elb.  (Caso  dc  no 
estar  operative  y  haber  indicios  de  su  posibk  convcnicncia.  cl  obyetrso 
podria  scr  el  estusbo  de  la  conseracncia  o  no  de  su  implanucidn.  I 

3.  Kmitir  opinidn  sobre  b  idonridad  del  sistema  de  control  dc  accesos  de  b 

aplicacidn 

3.1.  livaluar  b  cficacia  y  seguridad  slcl  Sistema  dc  control  de  accesos 
discAado.  (Controies  referentes  a  la  identiflcacidn  dc  usuario  y  pslabn 
de  paso  y  posiblcs  intent  os  reiterados  de  acceso  no  autorizado.) 
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3.2.  Anali/ar  si  la  asignactbn  de  operactonc*  y  funcionalidades  pcrmitidas  a 
cad*  uno  dc  los  pcrfilcs  dc  usuario  discflado*  respond*  a  criterio*  dr 
ncccMdad  para  el  dcscmpcfio  del  trabajo  y  scgrcgaa6n  de  functoncs. 

3.3.  Comprobar  que  In  asignac  tones  de  pcrfilcs  a  usuario*  icspondcn  a  lo* 
pucstos  que  ocupan  y  sc  cvila  la  asignacidn  dc  pcrfiles  a  usuario*  tinicos 
en  cada  centra  operative. 

4.  Veriflcar  d  grado  dc  flabilidad  dc  la  informacidn 

4.1.  Revision  dc  la  cficacia  dc  lo*  controlcs  manualcs  y  programados  dc 
endada.  proceso  y  talida:  scguimicnto  dc  van  as  opcracioncs  concretas 
idcMificaMe*  a  lo  largo  del  ciclo  complcto  de  tratamicntc. 

4.2.  Comprobacidn  por  muestreo  de  la  exactitud  dc  la  informacidn 
almaccnada  cn  lo*  archives  dc  la  aplicactda  con  respcctc  a  docu memos 
originale*. 

4.3.  Pruchas  de  validcz  y  consistency  dc  dato*  de  la  aplicaridn  mediantc 
procevo  mfoonlhco  dc  la  Base  dc  dato*  real  con  herramienus  de 
usuario. 

4.4.  Prucbas  de  conciliacidn  de  magnitude*  total i/adas  cn  la  aplicacidn 
durante  vario*  periodos  dc  tiempo  frentc  a  las  dispcmblcs.  quizi 
tambidn  a  travds  de  ulili/acidn  dc  hetramienta*  dc  usuario,  cn  ottos 
sistemas  con  lo*  que  manticnc  relacidn  (sistema  contabc.  almacenc*. 
compra*.  etc.). 


19.4.3.  Planificaci6n  de  la  auditoria 

La  auditoria  de  una  aplicacidn  informltica,  como  toda  auditoria.  drbe  scr  objeto 
de  una  ploniftcaodn  cuidadosa.  Kn  este  caso  es  dc  crucial  importancia  acertar  con  el 
Bomento  mis  adecuado  para  *u  reali/actdn: 

-  Por  una  parte  no  conviene  que  coincida  con  cl  periodo  dc  su  implantacidn. 
especial  memc  crilKO.  cn  que  lo*  usuario*  no  dominan  todavia  la  aphcacidn  y 
cstin  ml*  agobtado*  con  la  (area  diaria.  Hit  cl  periodo  xdximo  a  la 
implantacidn.  frccucntcmentc  sc  detcctan  y  solucionan  pcqueiW*  fallo*  cn  la 
apiicacibn.  situacidn  que  convendria  csid  superada  ante*  dc  inuiar  cl  proceso 
dc  auditoria. 
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-  Por  otra  pane  el  retrain  cxcesivo  en  el  conucnzo  de  la  auditoria  puede  aUrpr 
el  periodo  de  exposicida  a  nesgos  vupenorcs  que  poeden  y  deben  xr 
aminorados  coroo  rcsuliado  de  ella. 

En  nucstra  cxpcncncia.  sc  han  mancjado  periodos  de  entrc  4  y  8  moves  desde  d 
inKio  de  b  impbntacidn  en  funcidn  de  la  magmtud  de  b  aplicaodn 

•  TanWn  hay  que  esiablecer  el  imbito  de  actuacidn:  traiindose  dt 
organ  i/aciones  impbntadav  en  ampliav  /onav  icmionalcv  set!  neceuro 
delimiur  cl  campo  de  actuacidn  de  la  mayor  pane  de  lav  pruebas  a  rcalirar « 
un  reducido  niimero  de  ccntiuv  de  trabayo.  Sin  embargo,  sc  ampiisi  d 
imbito.  de  mancra  que  aharque  la  rcprcscntacidn  mis  cxicnva  pcnible  de 
usuariov  y  centres.  en  aquelbv  pruebas  en  que  sc  considcre  (actibic.  ua 
incumr  en  un  covie  devproporc  ionado  (cncucstas.  proccsamicnto  de 
informacido.  contactos  telefdnxos,  etc.). 

•  Para  la  veleccidn  de  eve  limiudo  numcro  de  ccnlros  en  lov  que  llcvar  a  cabo  d 
trabayo  de  campo.  convicne  voliciiar  a  la  organi/acidn  uvuana  que  lot 
proponga.  en  have  a  razonc*  por  las  que  estime  puedan  apottar  mayor  valor  d 
trabayo:  vu  participacido  como  pilotos  en  cl  devarrollo  del  viclcma  o  ca 
proyecros  de  innovacidn  y  mejora  rclacionados  con  cl  proccso,  hater 
experiment  ado  recicntc*  cambio*  organi/ativos  o  en  mi  personal  direclivo  que 
puedan  imphcar  nesgos  adicionalcs.  b  existcncia  de  indicadores  de  actmdad 
que  sc  desvien  significativamentc  de  la  media  general,  etc. 

•  Dcbe  comeguirsc  cuanto  antes,  volicitirvdolo  ya  en  bs  primeras  lomas  de 
conlacio.  bs  aulori/aciones  ncccsaria*  para  que  el  personal  de  auditoria.  que 
esti  previvto  pamcipc  en  el  trabayo.  pucxb  acceder  a  la  aplicacidn  y  a  In 
herramicnlas  de  usuario.  Sc  solicitari  un  pcrfil  de  auditor  -si  especiricamctuc 
se  hubiesc  consider  ado  o.  en  ouo  caso.  aquel  que  ofrveca  bs  mayors 
posibtlidades  de  solo  coctsulta:  pcrmitird  dcdicar  a  su  conocimiento.  y  i 
preparar  pruebas  que  puedan  precisar  su  uso.  esos  (tempos  de  parada  qsc 
suelcn  productrsc  en  cl  dcsarrollo  de  ottos  trabayo*  que  vayan  a  cjccutarte 
durante  los  meses  an  tenor es  al  inioo  del  trabayo  de  campo  de  nucsira  audnoiu 
de  aplicacidn 


19.4.4.  Trabajo  de  campo,  informe  e  Implantacion  de  mejoras 

En  pnneipio  las  ctapav  de  rcalizacidn  del  trabayo  de  campo.  de  redaction  dd 
mlormc  y  de  consenso  del  plan  de  impbiuactdn  de  meyoras.  no  ofreccn  pcculiandadn 
de  relev  anaa  respecto  a  otrov  trabayos  de  auditoria.  Es  por  cso  que  no  vamos  a  haw 


www.FreeLibros.me 

_ CArtWI-O  IV  AI  MTOWU  Dli  AmTAOOfiKS  M,\ 


ni\  referenda  a  cllas  quc  algun  comentano  quc  U  cxpcncncia  nos  sugicre  lie  validcz 
fur  a  cualquicr  auditorfa. 

•  La  ctapa  de  rcalizacrdn  del  trabajo  dc  campo  consistc  cn  la  cjccucidn  del 
programa  de  trabajo  cstablecido.  hvidentcmenie.  k»  resultados  quc  sc  van 
obtemendo  pueden  llcvar  a  ajustar  el  peograma  eti  funcidn  dc  dicbos 
resultados,  que  pueden  aconsejar  ampliar  la  profundidad  dc  algunas  pruebas, 
acometcr  otrux  no  pre vistas  y  concluir  alguna  antes  dc  su  final. 

-  Una  recomcndacidn  de  cara  a  esta  elapa  es  la  de  plantearve  la  minima 
utilization  de  "papcles  de  trabajo".  cn  el  sentido  literal,  flsico.  potenciando 
la  utili/acido  de  PCs  portables  como  soporte  dc  la  informacidn  de  las 
mucstrax  con  las  quc  se  vaya  a  trabajar  y  para  la  rccogida  de  informacidn  y 
resultados  dc  las  diferentes  pruebas:  no  es  sdlo  cucstidn  de  imagen.  sino  de 
productividad. 

•  Rexpccto  a  la  elapa  dc  rcdaccidn  del  informe  de  la  auditorfa.  que  recogeri  las 
caracterlsticas  del  trabajo  realizado  y  sus  conclusiones  y  rccomcndacioncs  o 
propuestas  de  mejora.  quiero  recogcr  la  inquictud.  que  compartimos  los 
iMcgrantcs  de  nucstra  direccidn  de  Auditorfa.  por  el  licmpo  que  nos  csii 
requiriendo:  lo  considcramos  cxccsivo.  tamo  cn  boras  dc  dcdicacidn  como  cn 
avancc  del  calendano.  Son  de  aplaudir  inicialivas  como  la  propucsta  en  el 
artfculo  "The  single  page  audit  report",  de  Francis  X.  Bovsle  y  Alfred  R. 
Micbcnzi.  publicado  cn  la  revista  Internal  auditor  de  abnl  de  1997.  que  por 
nuestra  parte  cstatnos  dispucstos  a  experimentar. 

•  En  cuanto  a  la  ctapa  de  itnplanlacidn  dc  las  mejoras  idemificadas  en  la 
auditorfa.  snnplemente  quisiera  lanzar  un  reto:  la  siluacidn  Optima  a  alcan/ar 
es  conscguir  que  la  organizacidn  auditada  asuma  las  propuestas  de  acluacidn 
para  implantar  las  recomendaciooes  como  objelivo*  de  la  organizacidn. 
miciativa  con  la  quc  gratamente  nos  hemos  visto  sorprendidos  en  un  rccicnte 
trabajo  en  nuestra  empresa:  <sta  es  la  mejor  sc  dal  de  valoracidn  positiva  por 
parte  de  una  organization  a  un  trabajo  de  auditorfa. 


19.5.  CONCLUSIONES 

la  crcciente  importancia  asignada  a  los  sisttmas  de  informacidn  como  ayuda 
■estimable  c  imprescindibte  en  el  desarrollo  de  los  pros' esos  de  negocio.  aportando  no 
1*  informacidn.  sino  cooocimknto  -sc  esta  demandando-  que  apoyc  la  correcta  toma 
de  decisiones  atnbuye  ew  mi  una  importancia  a  la  auduoria  de  las  apUcaciones 
nformdiicas.  garantes  del  COrrectO  cumplimicnto  dc  la  funcidn  encomendada  a  las 
■tunas.  F.fectivamente.  si  la  base  de  la  toma  de  decisiones  no  es  segura.  liable  y 
eoofidcncial  los  resultados  pueden  ser  exactamente  los  contrarios  a  los  pretendidos. 
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Por  oiro  lado  el  enorme  >  continuo  stance  tecnoldgko  en  cslt  terreno  y  la 
aperture  dc  lot  «hlma\  a)  exterior,  edge  un  gran  esfucr/o  dc  formation  a  >m 
auditore*  information,  qoc  debe  ter  cuidadoxamcnte  planificado.  para  podet  tegur 
ofrcciendo  lax  garanttas  mencionadas  en  un  entorno  ca da  >rz  mix  amena/ado  por 
nut  tot  ricsROx.  tMraAados  tn  tux  t  mi  unit  trcnologiat.  Ti'ngate  en  cuenla  qee  In 
amcru/as  son  de  lal  calibre,  que  puedcn  llegar  al  extreme  dc  porter  en  pelipo  U 
uipervixencia  de  aquellax  empeexas  que  fracatcn  en  cl  empefto  dc  tener  bajo  control  d 
coojunto  dc  la  funcitta  informitica  que  da  xoporte  a  mix  ustemax  dc  infocmactdn. 


19.6.  LECTURAS  RECOMENDADAS 

Manualex  de  Auditorfa  informitica  de  lax  emprexas  de  Auditoria  >•  Consultorfa. 

Melodologia  de  Auditorfa  “AL'DINFOR".  del  Institute  dc  Auditoret  Internet  dc 
Etparta  (incluye  programa  informitica). 

Handbook  of  bDP  Auditing,  dc  Stanley  D  llalpcr.  Glenn  C.  Davis.  P.  Jarlath  O'Neil- 
Dunne  y  Pamela  R  Pfau  (COOPERS  A  LYBRAND) 

Systems  auditability  A  control,  comptlado  por  Ihe  Institute  of  Internal  Auditors,  lac. 
Researched  by:  Stanford  Research  Institute. 


19.7.  CUESTIONES  DE  REPASO 

1 .  ,Qud  fines  penigue  una  aplic  acuta  informitica? 

2.  Enumcrc  las  principales  amena/as  que  puedcn  impedir  a  las  aplicactooei 
informiticas  cumpltr  tux  objetivos. 

3.  ,QuC  ex  una  “pitta  de  auditorfa'"? 

4.  Hxplkjue  en  qud  ocasiones  utih/arfa  la  tdcnica  de  cncueua  frente  a  la  dr 
entrevista. 

5.  iCuindo  se  deben  llevar  a  cabo  pruebas  de  cooformidad?  i\  prueta 
substantivas? 
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6.  V  ill  ore  la  imponancia  del  manual  dc  uuiano  pan  la  aoditorfa  dc 
aplkaciooex. 

7.  ,.QuC  avpcctin  \c  deben  conviderar  en  la  prcparackta  del  plan  de  trabajo 

deullado? 

8.  Proponga  itfcmcas  para  medir  cl  nivcl  de  satisfaccidn  del  usuario  con  el 
modo  de  operar  dc  la*  aplicacione*. 

9.  i,Cdmo  vcnficarfa  cl  grado  dc  fiabilklad  de  la  informacidn  tmada  po»  una 

aplkacidn? 

10.  ^Crce  conventenic  que  el  auditor  lenga  auton/ac»6n  para  actuali/ar  datos  dc 
la*  aplicacione*  que  e*li  audiiando? 
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AUDITORfA  INFORMATICA  DE  KIS/DSS 
Y  API.ICACIONES  DE  SIMUEACIpN 


Manuel  Palao  Garcta-Suelto 

Estc  cjpi'iulo  vers#  sobrc  la  AuduorU  Infonnilica  (All  dc  I  cm.  "  Executive  Informa- 
ben  Svaemx/Decision  Support  Sy  stems  y  Us  Aptkacioncs  dc  Simulaci6n. 

Aunque  vc  traia  dc  aplrcacioocs  informAlicas  cuantitaiivamcnte  minoritarias.  su 
iso  crccientc.  su  import  and*  rclativa  y  wras  caractcristicas  las  hacen  panicularmcnic 
iateresantcs  para  cl  auditor  inform*  *co. 

20.1.  PROPOSITO  Y  ENFOOUE 

El  objctivo  dc  estc  capitulo  «  prcscntar  estc  lipo  dc  paquctcs  y  aplicactoncs 
tefUUndo  vii %  caractcristicas  difercncialcs  rcspccto  dc  la  mayorfa  dc  las  aplicaooncs 
wformiucas  dc  gcMidn.  y  rtali/ar  unav  relkxioncs  y  recomendaooncs  dc  Auditoria 
hfcrmilica  (All  expecfficas  para  esas  caractcristicas  difercncialcs. 

Poe  ra/oncs  dc  dcfcrencia  hacia  cl  lector  y  del  cspocio  disponibk.  sc  ha  optado 
per  un  enfoque  gentries)  (sin  abundar  cn  tunicas  o  paquctcs  comcrcialcs  concetto*, 
per  cpcmplo)  y  por  cxccpcidn  (sin  cubrir  cn  dctalk  tcmas  y  kcmcas  mis  generates  ya 
cuhiertos  cn  otros  capftulos). 

En  todos  los  casus,  supondremos  que  sc  trata  dc  implantacionc.s  dc  paquetes  y  no 
it  desarrollos  a  nxdida  (que  diffcilmcntc  csiarian  justificado*). 


‘£iHUhY  h\frnmm*i  Systems'.  Smoiui  dc  McnucMa  a  l>  Dircco.Vi.  cn  adcUrnc  SIDIFJSI  | 
'Deeuttm  Sitpt»stt  Synemi'.  Smemat  dc  Ayuli  a  U  Dcciuta:  ro  adeboee  SAD(DSS1 
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20.2.  0ESARR0LL0  DE  LAS  DEFINICIONES  OPERATIVAS 
0E  LOS  CONCEPTOS  CLAVE 

Ijm  tret  concept.*  intrudocidos  al  pnncipeo  del  capituUs  esigen  cierta*  ptcouna 
para  ponce  cn  pcrspcctivj  el  plantcamicnlo  de  cue  capftulo. 


20.2.1.  Audltoria  Inform^tica 

Sin  pcrjuicio  del  mis  atnplto  y  drtallado  planicunuento  que  sober  Al  vc  luce  cn  b 
Pane  I  de  csle  libro.  drsco  dcstacar  aqui  dos  caractcrftticas  imponantes  de  la  mi  urn:  i) 
In  amplilud  y  variabilklad  del  concepui.  misidn.  objetivos  dctallados  y  forrag 
organi/ativa*  de  la  Al;  y  ii)  »u  nula  o  haya  regulacidn  o fatal 


20.2.1.1.  Amplilud  y  variabilidad  del  conccplo  de  Al 

Si  sc  jcrpca  como  definkidn  opcralivo  amplia  de  Auditoria  Informilica: 

a)  Una  actividad  profcsionul  de  invcstigacidn.  evaluacido.  dtetamen  y 
recomcndac  tones... 

b)  ccntrada  en  la  inforauilica  como  aclividad  o  fin  en  vi  muma... 

c)  como  instrumento  al  scrvicio  de  oiras  funcioncs  mis  o  menus  depemJuntn  de 
ella... 

d)  o  cn  umbos  aspects*. 

c)  con  el  fin  de  cnjutciar  si  ayudar  (auditoees.  consul  tores  |  a  que... 

0  la  organt/acidn  y  mi  funcionamienlo  scan  tonfomt i  (Control  liucinoi  coo  b 
dispucuo.  (eslmcturas  polflica*.  peoccdimicmos... 

g)  por  quten  tiene  poder  legitimo  para  disponerlo  <los  "dueflos"  (inicrcsadas  o 
itaksholdrn]  Conseyo.  Prcsidente  Director  General.  Administracka 
Pdblica 

que dari  mamfiesu  la  amplilud  y  vahabilidad  seAaluda. 


20.2.1.2.  Nula  o  baja  regulacidn  oflcial  dr  la  Al 

La  tariabilidad  de  conccpcioocs  sober  lo  que  es  la  Al.  su  relativa  juventud.  urn 
insufictcntc  aprociacidn  de  su  unpottancia  y  otros  intereses  en  juego  tun  limitado  o 
frenado  dicha  regulacidn  (diseesa.  tegtin  poises  y  see  tores  -estos  utnmos.  tratadm  en 
la  Parte  III  de  este  libn>-). 
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Ante  cm  falta  dc  regulacidn.  lav  atociacioncs  profcsiorulcs.  y  cn  cue  cavo  -dc 
node  dcttacado-  ISACA  (Informaiion  System*  Audit  and  Control  Association)  han 
prupucsto  normas  y  cddigot  de  buena  prictica  dc  uso  voluntano.  entre  I  os  qoc  cabc 
dcstacar  CoBiT.  A  cstc  conjunto  de  documcnto*  (atin  cn  ctolucidn  ruando  esenbo 
tsto)  me  remitird.  mis  adclantc.  como  norma  dc  aplicacido. 


20.2.2.  SID[£/SJ  /  SAD[DSS] 

Lot  Sistemas  dc  Informacidn  a  la  Dircccidn  -SID|£7S|-  y  lot  Sistemas  dc  Ayuda 
i  la  Decision  -SAD|/>SS)-  ban  semdo  supomendo  cn  la  histona  dc  la  Infornuitica  dc 
GestWio  un  "Santo  Grial"  o  "manto  dc  Pendlope":  un  anhelo  adn  no  uftcicntcmcnlc 
rrali  rado 

Lot  SID(£/S]  y  lot  SADfDSSj  tun  tido.  cast  desde  qoc  sc  acuftaroa  lot  iCrminos. 
coaapaftcros  dc  viaje.  aunque  su  tccnologfa.  grade  de  cvoluctdn  y  nisei  Jc  uso  no  scan 
fnjrn. 


M.2.2.1.  Antecedents  de  lot  SIDfKISI 

las  prcuac tones  tfptcas  de  la  Informiiica  dc  Gestidn  a  lo  largo  dr  mis  diversos 
neadios  evolutive*  Infocmau/acidn  Administrativa  (Ndminat  y  Cootabilidad)  cn  la 
dfcada  de  lot  tcscnia;  Sistemas  dc  Informacidn  cn  lot  tetenta.  etc.,  no  lun  podido  o  no 
hat  sahido’’  apoctar  at  Directive!  la  informacidn  adecuada  (nportunidrd.  actualidad. 
and  de  agregacidn.  etc.)  que  requeria. 

Ya  cn  la  ddcada  dc  lot  sdenta  comen/d '  la  moda  del  MIS  ("Management 
Information  System".  SiMenu  dc  Infoemaodo  dc  Gettidn).  que  adn  da  sombre  a  mis 
de  un  departamento  mfocmiltco  Die  ha  moda  suputo  buenas  aportacunet  tedneas  y 
pricocav.  pero  mochas  mis  opcrac tones  dc  opottunismo  cn  mcrcadstecnia4  a  su 
mpacto  co  la  informacidn  de  direccidn  foe  limiuido. 


'  l'ra  Imuu  encuesla  d t  Famine  so bn  sus  nttysert  50®  mptuv  Ktilata.  «>mo  pruKipctrs 
pittas* (>  viusasi  i)  un esveso  dc  a>r<»m»c><S«  irrctcvaMc.  il)  sai  e»tii>  suacclifibir  ml  mforusKKSa 
pn  ficuhk.  iv)  incutsrrcfKiat.  v|  lata  de  perspective  hitldrxa.  sil  cuoni  depradcncu  dc  to* 

'  A%in  taler  tneSno  o  sic^  murdua  cl  mfsKto  <|uc  luvo  cl  Uro  Bl  l  ttW  Unnatemeni 
¥-~~-5>or-vi 

'  Renerdese  el 'IMS"  dc  IBM 
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20.2.2.2.  Apartcldn  dr  las  SIDf£/S| 

A  mrdtado-  dr  la-  ados  ochenta  comrn/aron  a  prolifer*  paquetev.  aplitaciooet  y 
textoa  dr  SIP[FJS\.  coo  plantcamtcnto-  vanadox.  mucho-  dc  kn  cualcx  no  tuo 
quedado  rcteoidox  cn  Ur  actinic-  icndcnciax.  lint  re  cmm  planteamienlox.  uno  -cay* 
Ira/a-  pcitnancccn-  cs  cl  dc  hajar  dr  ran  go  al  MIS.  que  devendria  una  hcrraimeto 
para  mondo-  medkw.  drjando  c-pacio  por  amha  para  rl  mix  noMc  SlDfE/S)'. 


20.2.2.3.  l<on  actuate-  SID(£ IS  \ 

En  k»  ultimo-  aAos.  kn  SID(£/S|  parcccn  habrr-e  c-ubilizado  cn  -u  rntoque  y 
fuiKiotulidadc-.  como  cxqucmati/ai  rl  cuadro  -iguientr.  y  qur  «c  resume  cn:  pm 
accrxibdidad  y  ficil  uv» 

Bata  facilidad  dc  uxo  ha  coodocido  a  una  utiliwidn  ohenutlim  dr  lox  Sll)(£/5t 
tu  utiti/acido  como  un  -i-tcma  general  dr  informaci6n  "para  lodox".* 

TabUt  20.1.  Camcteristlcat  usmilri  Jc  lot  actual  ft  5/O/hlS/ 


Ineerfa/  Gedfica  |  kortov  mtuUi-n.  Ilfctil.  mceWt  dtnimicaa  cc 

aettvox.  htpencxlo.  hipcrmedio.  no 
prrumali/dblr 

in  camhtot  Mo 
prwcdiirncal 

(V«i-ulia- 

“Oocrx  tcncillo,  \tiiid  dn\rn~ 

|  Fonnakn  dc  prr-cncacida 

Pot  jerarquu-  antdadat".  ‘MrilMowir 
Intranet  Internet 

NavcgaWM 

Banco-  dc  IXilot 

Bate-  dr  IXttm  Corpnrari-at.  CrrcicMr  tcndrocia  a  'axes' 
ducctamcnte  i  b  BD  Corporalita  Ipor  cjetnplo.  par  ad  pa 
OlAP)  cn  higar  dc  hater  rCptica-  o  cxtnirtot  Vxalo" 
Infornucitaettrraa  Infcrmacidn  cualitalita  . 

litlructura  dc  dttot  _ _ 

I  Vida- 

Tuplax  iv-dimrntKinaVt  iparadigtru  Ot_AI*.  ROLAPl  ___ 
ProVtm«l.it  -  pmonali/aMct 

AmNti- 

InJieirut  ii'o  hiOOora  y  dc  conlcxto 

1  Dctccodn  dc  dc— ackmct 

I'juomo  ofimitico 

Semafcirot. 

Fax.  e-malt,  trllfano.  trkcoafcrrac  u.  tu 

— 

Hmamtmtai  min  mat 

1  Hcrranueniat  uwtalct 

Calculation  HoadlWica  dcxcrqmva.  grifica 
SADIOSSl _ 

inter  attivj _ 

1  MCtodo  dc  devuTollo  t  :-ualmcnlc.  protoupo-  c-olutivov 

[  ProgramaoOn  jGrifica  iMceaciiva.  por  mend-.  grncracidet  awomlm  * 

]  Cddiio  dc  aho  nttrl  tc-tniciurado)  "prop»rtino~.  editable.  | 


‘  IOIINNO  pp  WO  MI 

*  Sc  ha  auAab  H  jucg<'  *  pifatni  lilS  •  F.ttnbtxh' i  Ufam&taa  Sturm  •  Sun  k 
Mom-toon  para  Todox  Ver  CM  "CIGNA  Corperjocm"  e«  CURTWa.  p  25 

cn  U  oouctur*  de  toitrol  dc  la  emper-a.  nfKifcitit  fufi  el  mo  p«v  c*  miemi *  CVRTNS*.  f  8 
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F.jemplos  dc  poquetcs  con  wn  funcionalidadcx  pucdcn  scr:  HOLOS. 
COMMANDKR.  PILOT.  DSS  dc  MicroSrategy 


20.2.24.  Anlccrdcntes  dc  los  SAD  |DX.Y) 

La  decision  t»  la  tarca  por  antonomasia  dc  la  persona*  y  -ca  un  contexto 
ewprcsarial  modemo-  del  cjecutivo. 

l-o*  sislcmas  dc  ayitda  a  la  decision  son  tan  nntiguos  como  la  Himamdadv;  kn 
ncionales  y  cficicntes.  bastaiMc  mis  modemos  (y  aiin  poco  aplicados) 10 

En  todo  ease.  I c>s  cjccutivos  toman  decision?*  continuamcntc"  dc  forma  poco 
eoiKturada.  A  ml  me  parcccn  panicularmcntc  intcrcsantcs  dos  aspect***:  la  baja 
truabilidad  (a  los  datos.  modclos.  ra/oncs  y  documcnlos).  y  la  baja/nula 
mpotabtlidad  (cxigencia  dc  responsabihdad  por  la  dccisidn  concrcta)  drccta. 


20.2.2.5.  AparWAn  dr  lot  SAI>|/>.S.S  | 

Los  SAI>|/J.S.S'|  son.  tambicn,  tan  antiguos  como  la  InfoemiUca. 

20X2.6.  Los  actuates  SAD(/).Y.Y) 

Los  actuates  SADfDSS)  compaticn  una  scric  dc  caractcrfsticas  que  sc  resumen  en 
bsiguiente  tabla. 


1  En  uunlu  ~tet  libce”  que  ic  rnlrow  a  sectoncs 

*  La  Plwpccsiv*  MfcMirWa.  U  aurukyu.  kn  cricukn.  la  quinxnanoa.  y  tut  demla  nuiwrui/uan 
fc*na»  inwhii  dc  lascuilc*  han  llegado  a  nsrslro*  diisi.  sr  rementan  a  40000  aAot  a  C  iBntaamra.  15 
(1  rv  l.mune  Irtlmj")  f in  nmjdn  <iw  sc  ha  ptobado  h>  take  ptedKtoo  o  dc  i> ala  a  la  dccnite 
**»**•  y  ra  cau  ioi»  han  dejado  evidential  o.  al  mac*,  un  "MUfe~  inequlvwo  de  ten  *  a  inoeteses 
*  u>  aOmniMradrccs 

*  la  la*  d lumas  dCcadai  tr  hi  dciamiUaic  un  fnraudaMe  aunjuc.  en  general,  ir*x*»:lu)*otr  y 
CKcuvatnraee  teCno.*-  cuerpo  de  ceauxitRcMo*  psicotdfKos.  toculcs  y  coondenicos  sobre  ia  'Vou  de 
dKiu.no'  La  "teorfa  dc  la  dcciuda'  ten  Estadiutca)  pertigue  U  tolocido  rfplima  a  [unit  dc  una  *cnc 
dt  «*Jos  masiilct.  utHH  cstadu*  finale*  pos*4c*  y  un  eonjunto  dc  espenmmo*  di*p*mKc»  fJ 
■pn*k«u  dc  la  dcctsidn'  (en  MurmilK**)  busca  un  algunrnu  o  tccuniv 
Marks*  iBnlaanira.  15  cd  .  lit.  pp  42d.  ul 

"  *  aocsnruciuradas.  nHiki  duncnsaonadrs. arf hoc.  r  unprcdccibie* .* Cl 


tidad  que  1C  una  respites)* 
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Tabla  20.2.  Caractrmticai  dr  lot  actual rs  WO/DSS/ 


lleTTamtentat 

CakuLtdora 

IsiadtsiKa  descnpnvi  grkfWa  iMmcnva 

ls.atlis.Kj  at  an/ aili 

Scnct  TemporaSes 

ArUl.us  lendencus  BdsqucsU  aulnmttica  del 

■dor  akMo 

Pjtanrftncos 

Ajustes  aulomfcicot 

'-Wlutir 

AiuT.su  sens.hil.djd 

-Goal  Seeking” 

Bdsqueda  de  ohjet.sos  (normilmeMe  como 
esploeaodo  por  patos  incremenules  CMep”) 

1  sualmerae.  una  "opetdn”  dr  un  SIDJUSIJ 

Conectividad  _ _ 

Sopoclc  ofunieico  ("decis.ones  mmcdaaUs”) 

20.2.3.  Aplicaciones  de  Simulacidn 

Dctde  lot  ioictos  de  la  Infoemat.cj.  <Kta  te  ha  usjdo  en  vanadat  aplicacioacf  de 
simulacidn. 


20.2..I.I.  Aplicaciones  dr  Simulacidn 

La  imipcidn  de  la  InveHigacidn  Operatic  a  en  la  gctiidn  en  lot  aAot  cincuenta  6o 
lugar  en  lot  tesenta  a  una  imipcidn  (limilada  al  rcducido  kmb.to  de  lat  empretas 
uificicntcmcnlc  “colluri/adat”)  de  aplicaciones  y  paq  octet  de  timulacaW-', 
fundament  almcntc  de  leorfa  de  colas. 


20.2-I.2.  Aplicaciones  de  Ccstldn  y  Aplicaciones  Tfcnlcas 

Aqui  ine  ccAird  a  las  aplicaciones  “de  gettidn"  pat  a  ayuda  a  la  toma  de  decitknet 
l)AS|DSS).  aunque  cs  evidente  que  la  (romcra  csti  desdibtijada.  poet  -salvo  en  catot 
de  ctcncia  pura  lat  timulacionct  "tdcnicat"  tirveti  o  poeden  tervir  para  lonu  de 
dccitiones  “de  gettidn".  en  movhot  caxos  de  gran  irantccndencia  economic  a 

Lat  aplicac tones  “de  geteidn"  -a  hi  vex-  tirven  a  dot  grandet  peopdtitov  i)  ti 
plan.ficactdn  o  diteAo;  y  ii)  la  optimixacidn  o  reingenieria 


‘ :  GPSS.  General  hrrjmr  Sumnlauatt  Sum.  todivta  euuentc.  cs  . mo  de  elk* 


www.FreeLibros.me 

<»>»».  CA«TV105>  UK  USMANS  M1IM  IOMS  4M 

Fn  el  primer  caw.  sc  iraia  de  dtseflar  o  pUniftcar  una  realidad  atin  inexistence  <et 
el  caw  de  mvcrxiones  en  infraestructura  o  en  plant*)  En  cste  caw.  los  grades  de 
hhertad  al  dcsarrollar  cl  modelo  son  miximos  (sc  pueden  cambtar  la  “escnsctura"  y  sus 
*regla%">;  I  os  rietgos  de  error  asociadov  tambkn.  al  no  existir  posibilidad  de 
contrast aci6n  cmpfnca  direcu  (comparar  el  funcioaamieMo  del  modelocon  la  realidad 
quc  modcli/a). 

En  el  segundo  caw.  la  infraestructura  ya  cxixte.  se  trata  de  mejorar  -mis  o  menos 
n&calmente-  su  funciotumiento.  En  cste  caw.  ton  grados  de  libertad  -y  los  nesgos 
asociados-  son  menores:  la  "cstructura"  es  inamovible":  se  pueden  rxplorar  rcglas 
ihemativav;  cubcn  evert  os  contrastes  empfneos. 


20.2-3.3.  I  tcnicas  de  modefuacidn  y  simulation  por  computador 

Hay  una  gran  variedad  de  tfcnicas  de  umulacidn  combi  rubles  con  la  vanedad  de 
knguajes  en  que  se  pueden  implcmcntar 

Las  aplicaciones  de  simulacidn  se  programan.  todavfa  mis  frecoeitementc  de  lo 
descablc.  en  FORTRAN  o  en  BASIC,  con  una  introduccidn  progresiva  de  Icnguajcs 
ndsmodemos. 

Entre  los  paquetes.  a  parte  de  una  pldyadc  de  paquetes  para  fires  cvpccificos 
-desde  gcstvbn  de  tesorerfa  a  distnbocirin  en  planta  de  grandcs  superficies,  pasando, 
por  cjcmplo.  por  optimi/adorcs  del  proccw  de  produccidn  de  ccrstra-.  hay  tambidn 
aaa  gran  variedad  de  paquetes  de  propdsito  general  ( horizontal  ex,  no  especificos  de 
«a  funcidn  o  sector);  entre  dstos.  por  cttar  dos"  tipos  lmportanics.  estin  los  de 
umulacidn  estiuca  y  los  de  simulacidn  dmimica;  y  los  deteministas  y  los 
rslocisucos  U  tendencia  (no  justificable  en  este  espacw)  es  haeia  los  dininucos. 
tstocisticos  e  interactivos.  y  con  una  cxcelcnte  interfaz  grifica  (GUI).  Entre  ewos  se 
pueden  citar:  Arena.  Taylor  II.  y  WITNESS1'.  Todos  cllos  se  caractcman  (en  mayor  o 
me  nor  grain)  por  una  oricnlacidn  a  objetox.  una  fieri  programacifo  grifica.  por 
menus,  y  por  eddigo  de  alto  nisei  (gcncrado  automiticamcntc).  Su  potencia. 
flnihilidml  y  fariliriarf  de  usn  varinn  al  igual  que  uis  faetlidades  itr  “AvumnlaSAn 
enema". 


Los  SID  y  los  SAE  sc  presentan  frccucntcmencc  juntos,  como  sc  ha  dkho.  por 
nr  ones  funcionalex  y  comcrciales.  aunque  esuictamente-  pueden  tnearse  de  modo 
mdependiente.  En  la  figura  de  la  pigiru  siguientc.  se  mucstran  conjuntanemc. 


"  A  medio  o  largo  ptuo.  lodo  et  variable  E*  el  liimie.  ic  euiria  e*  el  emo  ptimeo 
’‘P1*C96 

“  Drcbi*c»)B  de  inureso  al  e*nNr  esus  line**.  lengo  ana  partxipacidn  en  MODLLCO  The 
Model  Company.  S.L.  dntrvtaudoea  exotawsa  de  WITNESS  en  Eipidi.  en  dimw  Maes  entre  eft* 
DMrAvoOn.  Admumtracidn.  Logluic*.  Seesxios. 
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A  |umr  de  un  Banco  ilc  Datot  Corporalivo  |l|  *c  obticnen  dircctametue  (o 
indircctamcnic  |2J.  mcdiantc  un*  Bate  de  Date*  Tocal")  “vitttt"  |3|.  Ambca 
enfoquet  lienen  tenujat  e  inconveoiemet:  el  ataque  directo  a  La  Bate  de  D*Ka 
Corporativa  licnc  la  ventaja  del  acceto  a  la  "total  idad  actuali/ada"  y  el  irKooverucote 
de  b  mayor  concurrencia.  tiempo  de  retpuctla  y  compicjidad  leuando.  de  heefao.  d 
mtcl  dcvigrcgado  rara  vez  intercta  al  ejecutitoc  el  uw  dc  una  Base  de  daion  pnvadio 
local  para  el  SID  reduce  y  resume  la  informacidn  y  plantea  el  problem*  de  lot  ernenot 
y  filtrot  de  eatraccidn  y  el  del  ciclo  dc  refrttco  (que.  en  la  mayoria  de  k»  tectoret,  ao 
et  crilKO)  I  j  lendencia  Ct  cl  alaque  diredo  a  la  Bate  de  Datot  Corporaliva 

Lat  “vitus"  |3|  ton  la  frontera  erurc  lot  SID  y  lot  SAE:  dcpcoden  del  npo  de 
herramientaN  que  tc  let  apliquen:  ti  no  hay  ninguna  o  ton  tencillax.  not  quedamm  en 
el  SII>.  ti  ton  mdt  complejat.  patamot  al  SAD  (4).  Si  tc  aplican  paqudet  de 
timulacidn  [5]  quo  rchatan  lat  hcrramicnlat  peopiat  del  SAD.  etlamot  en  una 
utuacido  de  SAD.  pero  utando  orrat  henamienut  y  -eventual mcMe-  or/ at  fuetuet  de 
datot  |6). 


20.3.  SINGULARIDADES  DE  LA  Al  DE  LOS  SID [EIS\, 

SAD  [DSS1  Y  SIMULAClbN 

Sobre  Al  de  lot  SID{£/S)  tc  cocuentra  una  cierta  cantidad  dc  documcntacidn;  no 
atf  vobre  SAD  / PSS J  y  Simulation  Sin  embargo,  parece  que  deberb  prcocupar  edt 
ctlc  Ultimo  gnipo  de  aplicacionet.  debido  -tobre  todo-  a  la  “matcrialidad'  o 
importancia  relaliva  dc  lat  dccuionc*  que  entren  frecucntcmente  en  juego. 


CAPfm 


www.FreeLibros.me 

I  y>  U  DHOBIS  INTORMATy  A  DF  FISVPSS  Y  SPUCAOONFS 


20.3.1.  Al  de  los  SID  [E/S] 

Por  lo  qoc  rcspccta  *  U  Al  dc  lot  SID|f.7S).  Us  labUs  20.3  y  20.4  rrsumen  los 
pnncipale*  ricsgos  de  control  general  y  de  apUcacidn" . 

Table  20.  i.  Kiel  got  de  Control  General 
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Tahiti  20.4.  Ritsgos  tie  Control  tie  ApUcao&n 

t 

M 

Enlradas 

Dcpcndcncia  dc  fuentes  muy  dispersal. 

Careocia  dc  conlnsles  nocmakudos  sobre  fuenen  estc  mas 

Dificuhad  dc  coottolar  datos  cuai-.tatisos 

— 

Preside  para  mtroducctdn  dc  daws  urgente.  antes  dc  mj  revisido. 

Acccso  no  autonrado  gracias  a  la  interfar  ttctl  dc  usar 

— 

Gestidn  dc  acccsos  compieya. 

PlTOCCMM 

Rut  nut  dc  proccso  compkjas 

En  el  caso  dc  hcnamicnias  ctiadisticat  y  dc  similar  idn.  cl  algootmo.  ua 
limitacionrs.  su  aptkabilidad  y  su  documtntacsdi  pueden  scr  inadcvaafc* 
o  latuficicnics 

la  modiliracidn  ennhnua  del  logical  pucifc  inhibit  controks  * 
manlcniimcnto  y  gestidn  dc  la  ronfiguraodo 

Carenria  dc  proccsos  cstnacturados  dc  dcsarrollo. 

Salidai 

Sc  pueden  caviar  talidas  via  e-mail  a  desimaiancn  no  autonrafos. 

La  csaclitud  dc  las  salidas  grtfkas  cs  mis  difkil  dc  vcnficar. 

TaNa  20.5.  Comidentciontt  lobre  la  Auduoria  tleSIDIFASl" 


HI  lidera/go  y  La  patticipacido  comptomctida  dc  la  Aha  Direcodi 
lc«.  HI  SIDfE/S]  pucntca  a  k»  itundos  mcdios.  quc  viin  hostile* 

HI  ditcvtiso  responsible  del  projects  debe  tenet  cl  rivel.  cl  poder.  cl  iicmfo  y 
cl  pcnpdsito  dc  quc  cl  aistema  sc  adaptc  a  lat  ncccsidadc*  dc  la  orgam/aetta  y 
CitC  claramcnfe  enU/ado  con  su>  objetnoj  J<  nttotb. 

H  Al  .Ww  |vu1h-ifU>  Ar«V  ft  Minin  lb-  ssihilwUH 

I  HI  SID(£/S]  csti  dc»iin*do  a  la  toma  (asistida  pie  SAU{/>S5|.  o  no)  del 


■dee tunnci  eitenr/jtteai  F.slo  tnocslra  una  situacidn  dc  ahisimo  riesgo  pan  d 
Al. 

Pnncipalcs  fadores  cnticos  de  ditto:  gestidn  dc  prrbkmas  dc  datos.  gotta  | 
dc  resistcocia  orgamzativa.  gestidn  del  imbito  y  la  csotuodn 

Daws 

1 _ 

HI  imbeto  dc  andlms  dc  la  Al  no  debt  limiursc  al  SID|C/S).  si  no  que  debt 
ahorcar  la  tctalidad  dc  Los  Siuemas  de  Infcrmwtdn  que  directa  « 
■ndirectamcntc  intcractucn  con  Cl  o  k  apotten  datos. 

!  Coolroles  dc 
jDrvafTollo 


’  F.stractado  dr  CVIU95. )  adafcado 
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Tahiti  20.5.  Comideroaonti  tohrr  la  Auduoria  de  SID/EJSII  iConuituandn) 

La andiKrfa dc  an  SID(£(S) detail ctwwat  aoK* 4* que  to* dMos  UefueaTj 


fcl  jumraio  de  rtetgo  (pc*  cl  nctgo  etrratCpco  del  SIDJ/S7S]  debe  lletar  a 
rrvivir  lot  ofeyctitot.  coottolrv  lanuAot  de  mwctira.  etc.  de  Ut  aplicacioetet  de 


Particular  atrnctda  dehe  prettartc  a  la  rrtnido  de  lot  procedimentot  de  control 
I  internet  de  entradat  y  procetot.  dx'umraincida  de  programat.  loAadot  de 
l  _ B  fuemet,  comunKJCicnet  v  *|urvlal  tlwi. 

jTcIrvoenutu- 1 B  entomo  purde  vet  mtentactortal.  con  ditertat  redet  LAN.  WAN.  Imra  e  | 

caooeet  |  Internet  La  tcrundad  del  eotoeno  de  contunacacionrt  defre  ter  evaloadi _ 

[ Interior  de  La  (acilutad  y  teanllea  deutom  crtttcat  B  Al  dcbe  evaluar  la  calidad  dc  la 

IHaano  inierfar  de  utuano.  la  nategabtlidad.  la  (acdidad  de  ralortnrt  a  rnedtda.  la 

ftetibtlidad  y  calidad  dr  lot  griftcot.  la  (actlidad  de  «to  de  lat  herramienut  de 
aniiitat,  y  la  larilidad  de  acccder  a  daaot  etiernot.  inregra/  dalot  en  entomot 

I _ ofiaaibcot  y  pcuducir  taladat  por  |m  y  e-matl. 

FJ  Al  detie  ategurarte  de  que  -detde  el  nucto-  (para  rmmmi/ar  lot  cambiot 
povterioretl  el  uttema  taiitface  en  contettadot  y  prvxcdi  mien  tot  Ut  necetadadet 
I  d»  loaetecutitmt  uiuiriot- 

Cotart  de  Dcbe  diteAartc  el  tatietna  mit  timple  potable  que  taf  itfaga  en  conlenadot  y 
|  Drtarrollo  procedunienlot  lat  necetadadet  rraUt  de  lot  eyecubvot  uwaanot  B  metodo  de 
'  detanollo  tcri  nomtaimenie  por  peatnaptn  otJufnnc  etiyo  control  de  c exact 

_ |  pwede  act  «ti  diffciL  LaiutnftcactdadHgattoomiMmMe  _ _ 

Srurtdad  |B  mayor  rtetio  et  el  de  fibraetdn  de  mformactOo  ctrratCttca  _  _ 

I  j  potihtlidad  de  erroret  o  de  manifmlac  meet  puede  tetter  contectacoctat  muy 
tratev 

IVben  rtlremarte  lot  coatrolet  de:  auletilificactOo  de  accctoc.  autoruacidn  dr  | 
accetot  a  inforntacido  trouble.  regturot  de  accctot  y  telecoanurucaciooet. 
reptlrot  de  tnodifacaoooec.  dfa*  tegurtdad  fltaca  (nvampulacido.  robo)  de, 
equipoo.  et  itacado  de  coptat  en  dnquete.  proaoccidn  antitirtav  prolecctdn  flora 
|  y  IdgKa  de  lat  comuntcactooev  tegurtdad  del  uMcma  operatito.  de  la  red  y  del 
I  1  rearor  de  baxadedato*. 

A'anot  (de  I  Ategurar  que  no  te  (alia  en  la  tdenufKacidn  de  ir.formacido  telet  a-tte 


Ategt 


Ategurar  que  no  te  (alia  en  U  intcrpeetactoo  del  tignificado  y  valor  de  eta 

_ Aieturar  que  no  te  ItlU  en  U  ct*numcact<«i  de  mlontttctOo  a  cerex  dncitrcev  claie 

la  labia  20.6  propone  una  tckccidn'1  dc  objetivos  dc  control  extractadov  dc 
0)BlT  96.  Sc  centra  mit  cn  “controlct  gcttetalct"  que  cn  "cootrolcv  dc  aplicacidn" 
Prrterxle  tervir  de  complemcnto  a  lat  prctcniadit  mit  antba. 


!l  tala  tckmdo  e»  del  outer  del  capttubx  NO  dr  CoafT.  La  tnduccufe  al  catfrtbno  dr  lot  cbyctnoi 
k  cvnuol  NO  hi  uda  booxdogada 


Kvaluar  Rircgoc 


Incluyrodo  "cuntrolc*  dc 
aplxacionrc  quc  garanticcn  la 
caactitud.  complitud.  oponuiudad  y 
auton/acido  Ac  cntradas  y  calidav 
IVhtcra  lucnK  una  rvahiacidn  «lc 


1  donde  et  J.ImI 
aplicat  lo»  oh 

I  control  cliucot 
c  mclu«odod> 
«>  u  defer  hi- 


IteHSCESTai 

Tm 

■Mb. 

w 

— 

n 

19.2 

_ 

“La  c  alidad  dc  la  cwluacidn  dr  net 
goc  dcbc  atcgunrcc  coo  un  mdtodo 
rtlrwturado  y  con  atcsorr*  tcferc 
rictgo*  «|UC  ctidn  cuahltcadcn  ' 

Ardoo 

proMcma 

”  iDcbe  la  Inkcmtnca  dc  Uuuno  Find  (a  tfccto*  dr  All.  o  drhr  ml*  hro  rmendmr 

cumo  ejmioo  AKTKiorul  drl  ptofcucoal  o  cjccuroo.  aoduaMc  pur  uOm  v(a>?  lat  hctTMOrecat  dr 
uwano  tell  wo  etclinMct  -«n  rr«  opinion-  dr  la  aodaoria  mformioca.  taho  m  lot  mfcchn  dr 
hccwtosacdo  dr  k»  prcducto*.  IimurV*  y  cooococukiOo  dr  maorim.  trrvkio  dr  inc*Jmci*i  rhtc- 
liart  copu»  dr  trgundad.  emend  dr  licrnciat  >  acluali/aciOo  de  vcruonr* 
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DS' 

GrMidndrl 
Funoonamamlo  y 
Capaodad 

»V4 

Mndrtiracidfl  del  (uncinnamimte  v 
rapacidad  dc  k**  trtvickM  dr  infer 
nvicMn 

(Uu  n  la  dmva 
cila  dirrcla  a 
modrliractdn  - 
Mmulacita  qur 
hr  identiftradn 
nflwir 

DS7 

Fdrmir  >  Ivntrrnar 
aknllMuno* 

CoKinicuckn 
m  la*  prculu- 
i»dadc*-rn 
•.uantoano- 
jo*  drr*u> 
aplicKMHir* 

OSII 

Gcutdn  dr  IXilo* 

f  M4 

Pittas  o  Tra/jn  dr  Authiorfa 

A*r  jurar  qur 

memo  iraprcM) 

Ikvr  idciuifi 

»  11.15 

KrviuOo  dr  Salida*  y  Cruidn  dr 

autor.  "vitti". 
*r*idn.  irnidn. 
y  -por  drlrcto 
■ndicactdn  dr 
"Borrador". 

ns.' 

_ 

ClcMkWi  ilc 

SrrvtcMtpor 

Tercrro* 

FmSADykn 
irxVI.n  dr  Si 

frKurmctnmlr 
xubocmoraledo*  a  | 
cmpic**c»- 

h(r /<><  •  auiVt  y 
nnaummim 
iMrqnorw 
vigilancta  IV* 
jraoadammlr. 
unCoMTho 
pmlido  (rrqrv- 
lodr  aramiirc* 
vrruont*drkn  | 
Contmt  Ob}t(  j 
aval  b  viudo  J 
draaitcriao 
cmuficantade 
wtvonlnli'la* 

Obtrncida  dr 

(iarantia* 

Indcprrxlicnic' 
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20.3.2.  Al  de  los  SAD  [DSS]  y  Simulacion 

La  principal  singularidad  de  cue  tipo  de  aplicaciones  c*  que  se  trata  de 
"apticaciooc*"  muy  caracteriiticax  de  "usuario  final'*5'  o  dc  subconirataridn  de 
consultarfa  especializada.  CuaJquier  uso  dc  herramientas  estadfsticas  o  de  siimiUridu 
por  personal  sin  una  considerable  espcciali/acida  c%  probablemente  temerario54. 

Las  condkiones  en  que  se  desarrollan  k«  “grander  modelot"  (los  qoe  sustentan 
las  grander  decisiones).  son.  coo  frecuencia.  el  contrapunto  de  lo  dcscablc  desde  an 
punto  dc  vista  dc  Al:  cncargados  por  alto*  directive*  que  *c  enfrentan  a  unas 
disyuntivas,  que  suponen  on  case  singular  y  puntual.  bajo  preside!  polftica  o 
ccondmica.  con  premura  y  cscasez  de  tiempo.  con  datos  a  menudo  escasos  y  poco 
valkladot.  con  una  compreasidn  limitada  de  los  punlos  (ucr.es  y  debilcs  y  de  k* 
condiooruntcs  de  la  modclizackn.  accpundo  la  modelizacidn  como  solucidn.  pero  do 
podiendo  concedcr  tiempo  o  prestar  atencidn  a  anilisis  de  sensibilidad  y  a 
"rcplicac  tones" 1 . 

I  js  soliciiacioncs  al  Al  llegan  en  exte  case  al  llmitc.  Los  enfoques  y  tdcnicas 
aplicablcs  deben  ingerirse  dc  lo  anrcriormcnic  ducutido  (para  la  Al  en  general,  y  pan 
los  SAD  | DSS)  mis  concretamcnte).  Pueden  exploiane  enfoques  como  el  del  debie 
cilcuto  independiente  que  sc  usa  en  ingenicrias  nucleares  y  otras.  cvaluaciones 
indircctas  baiadas  en  la  documentacidn  y  trazabilidad  (generalmente  pobres.  por  Us 
prisas)  de  los  modelos  y  expen  memos,  y  -final mcme-  en  "coot roles  generales"  (que 
son.  relativamcntc.  los  mis  dlbiles;  pero.  en  tiltima  intfancia  los  mi*  sOlidos): 
formacidn  y  concienciacidn  del  usuario.  controles  de  subcontratacidn.  etc. 

Scgtin  Mike  O.  Villegas,  dc  Arthur  Andersen,  en  *u  modclo'*  de  7  capas  [p.  24)  de 
Gestidn  de  Riesgos.  los  mayorcs  nesgos  esldn  en  las  capas  de  Apltcacidn  y  de  Proceso 
|p  2S).  que  son  Us  evpccfftcas  de  los  "controles  de  aplicacidn".  esto  c*  -scgtin  mi 
interprets  Min.  y  usando  terminology  clisica-  en  los  "controles  cspccfficos"  y  no  en 
los  “generales". 

En  lodo  caso.  la  mejor  curatcgia  dc  Al  cs  aplicar  consiuentemente  CotUTVb. 
accptando  cl  hoc  ho  de  que  algunos  entornos  tecnoldgko*  especiales  ptaeden  reqoenr 
una  cobcrturd  independiente  de  objetivo*  dc  control" 1 . 


"  Que.  en  nln  um.  no  c\  nocmaimrnu  ui  dmtsin  uno  uni  pmtni  o  w>  cqwpo  de  hi  ptm 
Menace 

'*  PvCnvcvf  p<«  e* mpk>.  rn  una  hmanurnU  DSS  tan  rrlMi.amrMr  simple  j  haoalt/nii  como  Elttt 
97  de  MKnm.fl  MoKtioc  d  lector  no  especialisu  m  nuSShl  en  Comstar  ft  menO  Hcrnm.«rj»- 
(('ompkmrnlmi  Anilmt  de  Dalot-AnSlaui  dr  Fouvr,  o  -en  A)u«Ja  'NadMKi.  ptMacancnn 

•RcptKn.-ioor*"  rcpetKsta  dr  Mpenmemos  rn  modrlm  cHoctUKos  (Pt*C96,  p  98) 

>DHAL96 

J'  Cl  niTVfi.  Cimnw  Ornrtnr,  p  17. 
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No  dcbe  ikvleiUnc  d  rccurso  a  grander  indie  adore*  y  cuadrex  “extemos". 
iplicado  por  penonas  con  cxpcricncia;  ni  cl  tno  de  trslems-*'alk-thnu. 

Poedc  lambifn  driempertar  aqui  un  importante  papcl  cl  CSA  Control 
$elfAcxc**ment  *  Autocvaluactdn  del  Control-  metodo  aun  irmificientemcMc 
normali/ado.  con  un  enfoque  de  "gevtidn  de  vilud  pnrnarta  y  preventiva". 
"...  coherenic  con  lo*  conceptox  de  Colidad  Total"  |p.  30|,  "xuplcmenio  y  no 
wbttituto"  [p.  4|  de  la  audilorfa  conventional.  cada  vet  mix  popular  devde  “mcdiado* 
de  la  ddcada  de  lo*  ochenta"  (p.  20|.  poc  cl  <juc  “el  personal,  a  todo*  lo*  mvcle*.  en 
todas  lac  functor**.  lo  conuituyen  I  in  AnaliMa*  Informadorc*  de  Control  Primario*- 

IP-  52). 


20.4.  CONCLUSIONES 

La  AI  de  SID1C/S)  y  SAD(D55|  y  SiUema*  de  Simulacidn  cntraAa  diftcultadcx 
Kmite  (vobre  todo.  en  el  caio  de  lo*  ultimo*):  la  “impottancia  relativa"  puedc  *cr 
enorme.  agravada  pot  la  haja  ectruciuraodn/documentacidn  de  pcocedimiento*.  Ian 
pcocedimiento*  clilicof  y  la*  norma*  dixpooiMc*  ( COBIT96)  son  in*uficicnte*.  pero  el 
tena  c*ti  ahf.  y  cada  *«  veti  mis  free ue Me  K1  AI  debe  recomendar  al  miximo 
controlc*  generalex  y  controlc*  de  apbcactdn  (de  la*  ifuc  alimentan  de  dato*  a  exto* 
asternal ).  cxticnur  el  uso  de  kentea*  indirect**  lirxficadort*  externo*.  mremr- 
),  y  recumr  a  tdenka*  (CSA)  alincada*  con  la  Calidad  Total. 


20.5.  LECTURAS  RECOMENDADAS 

Coerm  ISACA.  Control  Objectnet  for  Information  ami  Related  Technology. 
ISACA.  Illinoi*.  EF..UU.  1996 

CVR*95.  Curl.  Steven  y  Cal  lego*.  Frederick  Audit  Considerations  for  FAS.  IS 
Audit  Control  Journal.  Illinoi*.  HE.UU.  Vol.  II.  1995.  pp.  36  y  *». 


20.6.  CUESTIONES  DE  REPASO 

I  Dcfinicidn  operative  amplia  de  Audiloria  Informitica 

2.  Rcxurna  la  evolucidn  de  kn  SID. 

3.  Prirscipale*  caracteri*tica*  de  lo*  SID  actuale*. 


’CSA_9? 
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4.  ;.Que  difcrcnciai  dotacaria  cntre  un  SID  y  un  SAD? 

5.  Riexgox  tie  ooninil  general  de  lot  SID. 

6.  .  CuilcN  xon  kM  principals  mcdxw  dc  control  de  aplicacton  dc  k»  SID? 

7.  Objctivot  de  control  de  la  auditorfa  informitK-a  de  lai  aplicacionei  de 
xunulacido. 

8.  iQut  C>  la  aulocvaluaodn  del  control? 

9.  ,1‘of  quo  roulu  tan  impottante  la  auditoria  dc  loi  SAD.  SID  y  dc  lat 
apticacioflc*  dc  xirmilacidn? 

10.  Hlabocc  li'lai  dc  control  para  auditar  algiin  xixtema  que  cono/ca  para  cl 
dciarrollo  dc  aplicacionex  de  simulacidn. 
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AUDITOR!  A  JURfDICA 
DE  ENTORNOS  INFORMAT1COS 


Jottp  Jovtr  i  Padrd 


21.1.  INTROOUCCION 

La  Auditorfa  Juridica  forma  parte  fundamental  dc  la  Auditnria  Informitira. 
Su  objeto  c\  comprobar  que  la  utiliracifa  de  la  Informirica  «c  ajuvta  a  la  Icgivlacidn 
ngentc  A  mWo  titulo  de  cyemplo.  ciurcmot  normativa  como  la  Ley  Organic j  de 
Rcgulacidn  del  Tratamicnto  Autocnan/ado  dc  Date*  de  Carictcr  Personal  (I.OPD) '  y 
b  Ley  de  Prupcedad  InielectuaL.  .  que.  emre  otrav'.  e*ti  prevento  en  tal  comprobaeidn 
Supcrar  el  leu  de  la  legal idad  implica  la  cuoencia  adecuada  a  Derccho  de  lac  bate*  de 
dasov.  de  kn  programs  > .  en  definitive.  de  la  evtnictura  mformiuca  de  la  organi/acidn 
que  ye  tomete  a  examen 

La  Audtioria  Juridica  c*  evcncialmente  impoetanic  para  evitaf  pociblcc 
icclamacionec  de  cualouier  elate  contra  el  uijeto  a  auditar  Por  ello.  el  trahajo  del 
auditor  C'  la  medlda  prevrativa  id6nea  contra  canoonct  en  el  orden  adminictraliso O 


1  1  ry  Org  Jukj  1 ?A9  dr  Fmacctda  dr  Dofcn  dr  CarMcr  Prcvmti 
!  Lc>  1(A)  dr  uwrponcidn  dr  b  Duccio  *  41/I5WCEF.  dr  U  d 
'  r  (BOCdr  24  dr  Aonubf* 


dc  our  dcdxadM  a  ocr*.  mrm*  >N«dar  rt  lew  dredr  aifiuw  dr  «n  npccim  AU.  b  Lry  dr 
FMccofa  lurid**  y  Modrficaoita  del  CVafefo  Cml  y  dr  b  Ley  dr  KaymrunacMo  Coil  1 1.0  dr  15  dr 
euro  dr  1996  aim  1/1996.  BOE  IT  dr  enrro  dr  19961 
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induxo  penal.  at(  como  indemnizffricmei  en  el  orden  civil  par  dados  y  perjuicios  a  lot 
aftctadoi.  y  tllo  to  referimos  lanto  a  las  Administraciones  PdbUcas  coma  a  las 
empresas  priiadat. 

Can  el  etamen  juridko-l/cnico  sr  prriende  conseguir  una  gestidn  mds  tficaz  i U 
dichas  bases  de  datos  y  pragramas.  Vno  de  los  prune ros  objetivos  para  cualc/rntr 
organization,  en  essa  drea.  es  evilar  cottes  economic  os  en  forma  de  sanctones  o 
indemnkaciones  par  negligeneias  que  se  padrian  liaber  prevenido  de  fdcil  mado  y.  n 
combination  con  las  oiras  facetas  de  la  Auditoria  Informdtica.  lograr  el  descnbri- 
mienlo  de  irregularidades  en  el  conienido  o  en  el  uso  de  los  programas  ode  la  infor¬ 
mation  iraiada.  Esias  irregidaridades  afectan  no  sOlo  a!  normal  Juncionaimenlo  de 
las  empresas  audiladas.  lino  especiabnenie  a  las  “fugas~  de  esa  information.  Toda 
ello  influye.  no  cabe  dado,  en  la  Cuenta  de  Pdrdidas  y  Ganancias. 

Adenlrdndonot  en  el  campo  del  Derecho  Penal,  y  siguiendo  a  Emilio  del  Pests', 
cabe  leAalar  que  la  auditoria  informdtka.  en  sus  diferenies  modaltdades.  puede  sense 
para  prevenir  el  llamado  delito  informdiico,  delecta  rdpidameme  el  acio  drlkttw  en 
caso  de  que  se  produzca  yfacilita  la  prueba  del  mumo.  en  su  caso.  Las  revisiones  ex 
que  consisten  las  auditorial  mformdticas.  ya  scan  periodical  o  continual,  counts 
beneficiosos  efeclos  de  cara  a  la  prevention  de  una  posible  imitat  ion  delictiva  FJ 
simple  conocimlenlo,  por  parte  del  personal  de  una  empresa.  de  que  etiste  este  lipo  de 
auditoria  evila  ya.  muchas  vec es.  la  comisiOn  del  delito  ante  la  posibilidad  de  ter 
fdcdmente  descubierto.  Cutrndo  etiste  la  auditoria  continua.  el  empleo  de  las  tdcmcas 
auditoras  informdtieas  pennite.  en  gran  mimero  de  casos,  deseubrir  los  fraudts 
cometidos  y  facilitar  la  prueba  del  delito  comeildo  con  to  vensaja  de  lo  iisme- 
diatitidad.  Como  consecuencia  de  todo  ello,  podcmos  llegar  a  ta  conclusion  de  que  la 
auditoria  informdtica,  y  dentro  de  la  misma.  la  estrictamente  juridica.  cumple  una 
funciOn  de  tipo  prerentivo  imprescindible  en  relation  con  cl  delito  informitieo. 

En  base  a  los  aspectos  reseAtulos  sucintamente  hasta  ahora.  podcmos  ofreeer 
una  primera  definition  de  la  auditoria  juridiea  dentro  de  ta  auditoria  informdtica. 
Aqtrilla  es  la  revision  independiente  del  uso  del  material,  de  la  informat  ion  v  de  uu 
manipultsdorrs  desde  la  perspeclisa  de  la  nomativa  legal  Icisril,  penal,  laboral...). 


*  En  rebcidn  cwi  M  poe  diAot  y  perjuKiot.  ta  coocffto Se  revfvouMidal  pee  ta 

informacidei  mampulada.  b  LORTAD  k  tbtxi  dcfmilnamcnae  la  [wiu,  w  bien  6u  ya  apvnu 
ealreaNceU  en  taw  tl  artkako  IW  del  CiUipi  fni  lo»  ankulo*  en  maiena  dr  mpniihliU 
eoeiiraetual  del  imn>  Cddtfo.  b  Ley  OtfAmca  1/19*2  de  5  de  mayo  de  Proeecctdei  civil  del  deercko  a I 
heave.  a  b  iMmodad  pervcoal  y  familiar  y  a  b  propia  asafen  y.  U  ropoenabilidad  dr  lai 
Adnunulracivoc*  WNsn  tegabda  re  b  Ley  3OT2.  en  u>  caso. 

'  Oil  PESO  NAVARKO.  I  U  Wlforfcl  ujormtUun  turn,,  neJsj  de  prevention  / rente  at  tleUo 
infonolnco  III  Encuentro  sober  b  Infoemiuca  en  bi  faevkadn  de  Iketsho  (mayo  19*9)  L'mtcmdad 
POMifkta  Conullai  Madrid  Ednado  pee  b  SevcaJn  de  PutAcacionei  de  la  Eacukad  de  Drrccfea  de  b 
Lbaicnidad  Compbeeme  de  Madrvi 
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rfccttuda  por  un  jurista  experto  independent/  COd  la  finalidad  dc  cmiiir  un  dicumen 
»obcc  mi  adccuacirin  a  la  legalidad  vigcnte.  >•  con  cllo  const  go  ir  evittr  mseguridadcs. 
pfrdidas  o  codes  inncccsarios  para  la  emprexa  o  Administracidn  a  la  quo  cornet c  a 
awliioria  jurfdica.  siendo  cl  elknte  audiudo  cn  Olumo  krmino  el  que  decide  la 
ipikacidn  dc  las  eventuates  medidas  corrector**  que  sc  cstimen  oponunas. 

La  auditoria  jurfdica  comprende  cuatro  grande*  ireas:  A)  la  auditoria  del  entoeno 
informilico.  B)  la  audiiorfa  de  Us  personas  que  manipulan  U  informacidn.  C)  U 
•udiimu  dc  la  infomucidn.  D)  la  audiiorfa  dc  los  archives,  incluycndo  dentro  de  dsla 
una  audiiorfa  propia.  la  audiiorfa  dc  objetivos  Preiendc  esia  illuma  averiguar  U 
oxrespondencia  enire  cl  uso  que  se  Ic  da  al  archive  y  aquell&s  motivacioocs  por  las 
cuales  se  cred.  asi  como  U  constiiucioiulidad  de  la  finalidad  ultima  del  archive,  la 
luditorfa  de  objetivos  sa  inis  alii  dc  la  del  pnneipio  de  legalidad:  es  una  audiiorfa  de 
ftrreches  Humanos  de  Tcrcera  Gcncracidn  Sc  examina  no  unto  la  legalidad  como  el 
espfritu  del  archive,  con  la  pretensidn  de  que  <*te  respete  y  ganintke  ules  dercchos. 
Sin  plantcar  en  ecus  Ifncos  un  anilisis  exhaustive  dc  la  maiena.  se  pretende  ofrecer 
uw  oocidn  general  sob  re  la  urea  del  auditor  juridko  mediante  un  examen  dc  cada  una 
de  lax  cuatro  ircas  reseftadas  y  dc  sus  consecuencias. 


21.2.  AUDITORIA  DEL  ENTORNO 

Defimmos  como  entomo  a  hxs  programas  y  so porte  ffsico  que  sirven  de 
recepticulo  a  la  informacidn  y  los  dates  objeto  ultimo  de  U  auditoria  jurfdica. 
Ceocrcumcnte.  la  auditoria  jurfdica  del  Entomo  sc  divide  cn  ires  panes. 


a)  Auditoria  de  los  elementos  del  Hardware 

La  primer  a  consistc  tan  to  en  la  comprobacidn  de  elementos  del  HARDWARE 
como  dc  los  contratos  que  los  soportan.  Es  prtciso  el  examen  de  los  contratos  en 
unud  dc  los  cualex  se  utili/a  die  bo  material  (sea  con  transmisidn  dc  la  propiedad  o 
»).  asf  como  dc  sus  contratos  dc  mantenimiento.  Sdlo  a  modo  dc  cjemplo  cabc 
ersucar  como  mas  imponantes  los  dc  compravenu.  olquilcr.  (eating,  renting. 
irposkidn  y  mantenimiento  dc  dicho  hardware. 


*  Cmo  et  ate  mis  neertano  <n  aqurllat  mpirw  qjt  muupulin  archive*  con  dam  perocoakt  > 
retpon  table  et  ct  personal  dc  U  prepta  cmjwro.  o  bten  cn  aquellat  <fte  |«««r  ilaot  dr  atxoudai 
Scpa  k«e  Sr  Gcwrilrr  /abteca  cahe  poner  cn  duda  que  tea  cl  audnor  Uxrmo  qum  Kara  la  asdilorto  ca 
nm  cause.  >  a  que  punk  vox  cuacctcnado  cn  «u  iisdcpcndencia  profewcoul  tujeta  en  cue  cato  a  la 
4<ci(tiiu  lateral,  ai  ter  la  propia  rmpresa  el  retpnnvablr  del  archito.  y  adonii  al  no  compline  uno  de 
ka  pUKipun  fundunrnukt  de  la  prictici  prufetwaol  de  la  auMorfa  cual  r>  U  wgrefacxfe  de  fufKiont  t 
pm  {iraKi/ar  la  independenoa  y  nhjrbttdad  del  dktunta  Et  pee  rlto  aevetano  que  lat  mdilurtat 
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b)  Auditoria  de  los  elementos  del  Software 

La  scgunda  pane  e-vti  dcdicada  a  lo*  ckmento*  del  SOFTWARE  e  mcluyc.  ratre 
otro*.  el  control  de  lax  liccnoa*  de  u*o  personal  irada*.  Ikcnciat  dc  u*o  no 
personal  i/ada*.  licencia  de  uso  de  codigo  fuetiK,  dcsamillo  de  software  y 
mantcnimicntodc  los  program**. 


c)  Contratos  de  paquetes  gestionados 

La  tercera  cotTctpondcria  a  los  contratos  que  cnticnden  la  informitica  y  m 
gctfidn  cnmo  un  entomo  completo  doodc  la  nrgam/aodn  cede  a  un  lercero  la  toulidad 
o  pane  de  *u  gcstidn  desligindote  de  la*  deci*ioncs  propsas  de  los  depanamcntot 
tecmcov  (Aituiun  me.  claboraodn  dc  trahijo*  auxiliarc*.  contratos  de  entrada  dc 
dale*.  xubcontrataoOn  de  la  gcstidn  de  sect  ores  de  una  empreva  o  de  un  gmpo  de  eltas. 
constituyen  ejemplos  de  dicho*  contratos. 

En  lo  que  hace  referenda  a  estc  imbtto.  de  la  revision  de  la  contratacidi 
comentada.  c*  imporuntc  qsie  la  rcdacodo  de  los  clausuladcn  contrjctualc*  sea  clan  y 
prcctsa  A  si.  por  ejcmplo.  en  malena  dc  ongen  de  b  litulandad  de  kM  programas.  d 
auditor  debe  consular  >  en  caso  de  defecto.  recomendar  especialmente.  que  en  lot 
contratos  con  programadore*  asalanados  (contratos  labor  ale*  I  o  con  programadore* 
pot  encargo  tcontrato  de  obra  o  de  sctvkio)  se  determine  quten  adquicre  U  propiedad 
dc  los  mismos  ta  pesar  dc  que  en  los  phmero*  desempeib  la  presunciOn  legal  de  la 
Ley  de  Propiedad  Intclectual  dc  transmisidn  al  empresario  para  el  cjcrdcio  dc  so 
actividad  habitual  I  para  la  mi*  diifana  dctemunacidn  de  la  ntularidad. 
independientemente  dc  la  autoria.  >  con  cllo  esitar  posible*  dudas  y  recbmoc tones  al 
respecto.  Del  mismo  modo  se  debe  proccdcr  en  lema*  de  obrat  colectivas  y  obra*  en 
cobboraodn  TambtCn  se  consutari  por  parte  del  auditor  b  eaistencta  de  pruehts 
documentadas  de  esa  titulandad  como.  por  ejemplo.  el  deposito  notarial  o  escrow,  el 
registro  de  b  Propiedad  Intclectual.  >  en  *u  defccto.  aconseyari  el  uso  de  dtchos 
mecamsmos  de  registro. 

Se  trata.  en  dcfinitiva.  del  anilisis  de  contratos,  desde  b  perspcctiva  del  Dcrccho 
Civil  y  particular rncixe  del  Derecho  de  b  Propiedad  Intclectual  e  Industrial  Aspectos 
como  tiiulandad  de  los  dcrccho*  de  cxplotacidn.  autoria.  paleniev  marcas.  .  e*t4« 
presenic*  en  ul  revision. 

En  lo  que  hace  referenda  a  derecho*  de  aulor.  cabe  deMacar  por  su  import  anaa  la 
polemic  a  en  la  regubodn  de  los  programas  dc  computador.  Una  de  bs  novedadcs  qae 
tncorpord  b  Ley  dc  1987  fuc.  prccisatnente.  b  regulation  de  la  protecctdn  de  los 
programas  dc  computador  en  el  seno  del  derecho  de  aulor  (arts.  95- 100 1_P1 ) 
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El  IcgisJador  cspuhol  aposlando  por  la  protccci6n  jumbca  de  kw  programas  dc 
computadoe  en  ole  nurco.  sc  incardmd  cn  U  tcndcncia  cxistcntc  cn  la  mayor  parte  de 
kudos  de  la  Comumdad  Europca.  De  igual  mancm  ha  actuado  la  misrna  Comumdad 
yx.  ya  detdc  la  Directiva  del  Cornejo  9I/250CEE’.  ha  organi/ado  la  protection 
juridica  dc  lot  programas  de  computadoe  cn  el  Orrecho  de  Autor,  cn  coixrcto  como 
otea  literaria.  cn  cl  sentido  rccogido  cn  el  Convenio  de  Benia'  >  como  scAala 
MASSAGUER.  “renunciando  a  la  idea  de  csublcccr  un  siMcma  de  proteccidn  sui 
ttnrri^.  stqutcra  dentro  del  Derecho  de  autor.  no  obstante  el  establccimicnto  de  una 
regulation  particular'".  Un  sector  de  la  doctnna  cspectali/ada  optna  que  la  dcciti6n  de 
ofur  por  regular  csta  maiena  cn  el  campo  de  la  proptedad  mtclcctual  c*  Ibgica  si  sc 
Kicnde  a  las  caracterfsticas  de  lot  programas  de  computadoe.  Am.  por  ejcmplo. 
OROZCO  PARDO  "  siguiendo  a  GALAN  CORONA  tchala  como  pnncipales  razoncs 
>*ra  dicha  opodo  "las  sentajas  que  COO  Here  la  proteccidn  del  derecho  de  aulor  ya  que 
•»se  requiere  novedad  ni  activsdad  insentiva.  tino  solamcntc  ongmalidad.  m  (ampoco 
«  precise  regmro  conforme  a  la  Comcncidn  de  Bema  Todo  cllo  conlleva.  gneias  al 
,ueg»  de  lot  comcmos  imemacionales.  una  protection  tobre  la  materia  inincdiata. 
teogrificamentc  generali/ada  >  desdc  el  aniliui  ccondmico  del  derecho.  harata”. 

Ra/ooes  dc  caricter  prSclico  que  vienen  avaladas  por  cl  aumento  dc  la  piratcria 
cformitica  de  comccucnctas  ncgaiivas  lamo  para  los  propios  auiores  como  para  la 
comumdad.  No  obstante,  tigticn  cxisticodo  cases  cn  los  que  un  programs  va  ligado  a 
at  precede  industrial,  cn  cuyo  caw  sc  Ic  bnnda  una  proteccidn  complcmcnlaria.  asi  cn 
d  in  96..'  LPI  antigua. 

El  Derecho  dc  Autor  no  es  cl  linico  st sterna  dc  proteccidn  juridica  a  que  pueden 
acceder  los  programas  dc  compuiador.  que  UmbrCn  pueden  ser  totelados  median te  la 
tpbcacidn  de  Las  disposkioncs  sohre  patentee,  marcas.  compete ncia  desleal.  secretes 
cmprcsanalcs.  topograftas  de  productos  scnuconduciorcs  o  contratos  segtin  cl  art.  9. 1 
de  la  Direct  is  a  mencionada.  protcgicndo  de  modo  coccunrriue  con  la  tutela  del 
derecho  de  autor  el  objeto  protegido  La  gencrosidad  dc  la  rclaci6n  dc  sislcmas  dc 
pttrtrccidn  juridica  adicional  ofrccidos  a  los  programas  dc  computadoe  dc  la  Directiva 
91C59A.‘EE  contrasts  con  la  parquedad  dc  la  LPI  de  1987.  limitada  a  los  programas  dc 
computadoe  "que  formal  parte  dc  una  patente  o  un  modelo  de  utilidad".  por  ello.  era 
koSIr.  como  uiUliiKi  MASSAGUER'  .  >ic  car  a  a  nsantciser  un  criterio  ctaro  Jc 
pmeccidn.  o  la  supretiOn  del  ait.  96.3  LPI.  ya  que  el  print  ipso  dc  interpretation 

’  Directiva  Or  I  Cornejo  <9I/2.WEE>  Jr  1 1  Jr  mayo  Jr  1991,  rrlnvj  i  Is  jnimvum  JutsSci  Jr 
k>Ft.f>ama*  JrCompetaJor.  DOCE.«im  L  122/42.  I? *  mayo  Jr  1991 

*  Ccovrmo  Jr  Brins.  Jr  J  Jr  srpmstar  Jr  19*6.  |«i  U  pnerttxSe  Jr  0*rs»  I  arrsiui  > 

*i*rnie  ra  t Hurts  to  U  relKOto  Jet  Act*  Jr  Pirts  Jr  24  Jr  pho  Jr  197 1 .  ratsfirada  mcJunlr 
mrmtoi  Jr  2  Jr  julio  Jr  197).  BOE.  ntm  « I  y  260.  Jr  4  Jr  stmt  Jr  1974  y  30  Jr  octubre  Jr  1974 

•  fcn  rur  tenodo.  MASSAGUER.  J.  to  sJapsofo  Jr  Is  Lry  Jr  pnv*'l*!  IrMhctusl  i  Is 
CUkIiss  CEF.  rrlslna  s  Is  picrcstV*  yanjics  Jr  lot  programs*  Jr  c.rnfulsjjt'.  ra  Krttiu  it  Ihmko 
Itmaxnt.  a*  199-200 

"  Orosco  Panic  G  "loltrmltac*  y  prtpioisJ  iMrlcvtuaJ".  A.  HtatiJaJ  Itfotwtmtta  ArunrsJi.  if  19. 
M Jr  1996 

11  Eat  r»«t  trntijo.  MASSAGUER.  J  op  cu 


www.FreeLibros.me 

4M  AUtHTOUtA  IMOOMAUCA  UN  F.NTOQtT  PttACTKXI _ 


conformc  vigcnte  cn  la  Comumdad  ueguraha  la  acumulacidn  de  protccctbn  jurVdica.  o 
U  modificaodn  del  citado  preccpto.  tusiituycndo  mi  tenor  poe  el  del  pnmer  incitodd 
art.  9.1  dc  la  Dircctiva La  Ley  I (vV3  de  incorporacidn  de  la  Direeliva  9I/25GCEE 
ha  resuclto  en  mj  Dispostcidn  Adicional  urucj  "Silvaguardia  de  aplicacidn  de  o(ras 
dnposiciooct  legalcs"  cn  el  tcntido  de  tolcrar  dicha  protecckSo  adicional  pero  tia 
cspccificar  si  lot  programas  dc  compotador  han  dc  fonnar  parte  de  una  paten*  o 
modelo  de  uulidad.  El  Texio  Rcfundido  de  Propsexlad  Iniclcciua!  de  1996  '  no  ha 
retuello.  sin  embargo,  esc  prohlcma  de  maitera  difcrentc  al  anterior  texio  legal  de 
propicdad  mtelectual.  detaprovechando.  creemot.  una  oportunidad  de  mejon 
kgitlaiiva  Recce- 

demos  que  su  articuk)  96.3.2  cstabtccc  que  cuando  lot  programas  de  computador 
formcn  parte  dc  una  patrntc  o  modelo  de  utilidad  go/ar  An  ademit  de  la  protcccidn  qse 
pudiera  corresponderles  por  aplicacidn  del  rdgimen  juridico  de  la  propicdad  industrial 
confirmando  de  esc  modo  la  redaccidn  anterior. 

21.3.  AUDITORlA  DE  LAS  PERSONAS 

No  cs  potible  hablar  dc  miquinat  y  programas  tin  hacer  referenda  a  quien  lot 
uta  Por  ello  la  auditoria  juridica  dedica  una  de  sus  areas  al  sujeto  actiso  dd 
tratarmento  informitico.  La  auditoria  jurfdica  de  Las  personas  abarca  cinco  aspecios 
que  el  Juritia  encargado  de  la  misma  debe  cxaminar 

a)  Qutenes  tioncn  acceso  a  la  lnformackta 

Debido  a  la  naturalera  dc  la  informacidn  almacenada  y  manipulada.  tea  de 
caricter  personal,  que  afecta  al  dcrecho  a  la  intimidad  de  las  personav  o  simpfcmeme. 
dalos  de  interns  para  la  eompetcncia.  el  accetc  a  lot  mismos  ha  de  restringine 
alcndiendo  a  la  “semibilidad"  dc  la  informaci6n. 

Como  ejc  vencbradoe  de  esta  protcccidn.  cspecialmente  cn  lo  que  luce  referenda 
a  los  datos.  te  crea  por  la  Ley  Orgimca  dc  1992  la  ftgura  del  rexpontable  del  archivo. 
f-lvte  debe  velar  por  la  teguridad  de  los  datos  y  por  cllo,  adopt.tr  medidas  dc  (ndote 
tdcnica  y  organi/ativas  ncccsarias  que  eviten  su  alteracidn.  pdrdtda.  tratamiento  o  el 
aspes'to  al  que  hacemos  referenda  en  cste  apartado.  cl  atetto  no  autoriuido  Para  cllo 
deben  valorane  el  cstado  de  la  tccnologfa.  la  naturalcra  de  la  infotmacidn  almacenada 
y  los  net  got  a  que  etti  cspucsta.  ya  protengan  de  La  accidn  humana  o  del  medio  fhico 
o  natural 

Reglamcntanamcntc.  dentro  dc  las  empresas,  han  de  estableccrsc  los  requisitos  y 
condiciones  que  deban  reunir  las  personas  que  mtervengan  en  la  nunipulacido  de  lot 


1  Kaeor  tern**,.  MASSAGt'FJt.  1.  op  nr 

1  Real  IVcreln  Lepsluxo  de  12  dc  ibol  dr  1996.  edm  1/1996  por  ci  que  te  apruettt  rl  Into 
rrfotdidn  de  U  Ley  de  ProptcdaJ  InlrlecMal  <RCt.  I9H7/2-M0).  rtgulanrando.  Kbntaki  y  armeuink 
U> d»fO(ioc«cs  legates  ttgeaect  totee  In  natru  BOli  de  22  dc  abnl  dc  1996.  n*97 
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wchivos  a  lot  que  sc  reficre  el  artkulo  7  de  la  I.OPD  (dalot  especial  mente  peotegwlos) 
(a  primer  lugar.  y  a  las  informacione-s  qoe  son  de  important  i*  para  la  propia  empresa 
o  para  terccrot.  cn  xegundo  lugar. 

Pur  lo  unto.  v5lo  deberfan  acceder  a  lot  datos  "senubles"  aqucllat  personas  que 
wan  autori/adas.  actuando  la  figura  del  rcspontable  del  archive  como  garante  de  la 
protect i do  de  lot  mismos,  Frentc  a  tcrccros.  o  incluto  cn  cl  cjcrcicio  del  dcrccho  de 
aceeso  por  parte  de  lot  afcctados.  el  Rcspontable  del  Archive  cs  quien.  en  algunos 
npacuos.  tambkn  limiu  temporal  y  parcialmente  la  obtencidn  de  informacidn1*.  Con 
<Mo  se  evita  cl  acceto  inditcriminado  a  lot  datot  de  la  propia  organiracidn. 

b)  Adecuacion  de  aqudllos  al  cargo  que  oatentan 

Kt  nccesario.  adcmls,  qoe  aqucllot  miembros  que  ticncn  cl  acceto  pcrmitido  a  un 
onto  nivel  de  infonnacidn  deniro  dc  la  otgani/acidn.  to  tengan  de  forma  adccuada 
con  la  respontabilidad  y  el  cargo  que  ostentan.  Debcn  evitarse  acccsos  no  acccsarioi 
pan  el  normal  tlctarrollo  de  las  tareat  que  cl  trabajador  o  funciooano  tiene 
CKomendadas. 

La  empreta  u  orgaratmo  no  puede  arriesgane  a  que  cualquier  usuario.  desdc 
cualquier  punto  del  sistem*.  pueda  "vaciar"  cl  mejor  tetoro  dc  la  organizacidn:  su 
nformacidn. 

c)  Conoclmlento  de  la  normatlva  y  de  que  se  debe  mantener  una 
actitud  dtica  delante  del  archivo 

Aquel  que  tiene  acceto  a  un  nivel  de  la  informacidn  debe  conocer  lat 
ohligaciones  y  dercchos  que  le  asisten.  En  virtud  de  su  vinculacidn  con  la 
orgamracidn.  debe  mantener  una  actitud  <t*ca  ante  la  informacidn  a  su  disposicidn  y 
do  re  velar  lot  datot  que  conorca  cn  el  cjercicio  de  su  cargo  o  cn  el  detanollo  de  su 
tire*  si  ello  no  cs  nccesario  para  la  ejecucidn  de  la  mitnu.  Si  un  trabajador  dc  la 
etrpreta.  vulnerando  tut  oMigac  tones.  rompc  cste  deber  dc  sccrcto.  rompe  lambtdn  la 
buen*  fe  contractual,  tiendo  ello  motivo  de  detpido  disciplinano1'. 


"  Avi.  U  LOPt)  csublrcc  que  el  derecho  de  acre* o  Cfc  podr*  i er  ca  aKoika  Mfmont 

•  doc*  newt,  ulwi  que  el  afetuAs  atrrdar  un  mrerC*  kjllimo.  n  ceyo  <ato  podri  ojntiww  aaact 
(Alt  ISdetaLOPO)  aett  12)  It  del  RD  I3J2/W  | 

"  En  ewe  tentido  uraMn  cake  rctvrdar  el  trtkulo  20  I  y  2  o  el  artkulo  21  del  Etucwio  de  lot 
TnAsjeJorrt  ~  Artkulo  JO  Direction  y  control  de  li  acuvktod  laSxal  I  El  lrahjj»ix  rtlari  ebb* ado  * 
tdiu  el  trabnjo  coacceodo  hap>  In  deevekn  del  canpretano  o  persona  cn  quien  ewe  defcgue  2  En 
carptuiuenlo  de  la  cbhfanOn  de  irabajar  awimida  eo  el  contrato,  el  trabajadx  debe  al  empresano  la 
dAfcarta  y  la  colabcracidn  en  et  trnbojo  que  marquee  laa  dnpouemnet  lejalet.  lot  convemot  coletintn 
)  tat  Cedents  o  intinacoonet  adeymiat  pee  n^ufl  en  el  ejection  rrjuiar  de  tot  faevkadet  dr  dmccida  y. 
rn  n  dcfecto.  pee  lot  ntoa  y  cottumbrra  En  cualquier  cato.  el  trabajador  y  el  emprrtano  te  tomcirrin  en 
tat  prewar nxies  rccipeocaa  a  Ut  nijrociat  dr  la  beena  f«  (...)  Artkulo  2 1  Pacto  de  no  ctecwrracia  y  dc 
pcrmancncta  cn  la  coprcaa.  I  No  podrl  cfectuarte  la  pmucWa  taboral  de  un  trabapadcr  para  divenot 
mpreaarkn  ecu  ode*  te  cwimc  coocuneiKia  drtJtad  <...K” 
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En  lo  que  hace  referenda  a  Ion  are  hi  sot.  el  aniculo  10  dr  la  LOPD  rreoje 
umWn  c\ie  detier  dc  sccrcto.  m  born  ette  preoepto  ticnc  un  objelo  diferenie  al  qx 
ptevd  la  IcgitUcidn  laboral.  Aqudl  pretende  garanti/ar  lo*  intercses  del  emprecino  y 
cmc  rumple,  como  el  retIO  del  anictilado  en  que  tc  Integra,  una  function  de  drfenta dd 
detect*'  a  la  imimxlad.  1:1  aniculo  10  de  la  I.OPI)  establccc  que  la  obtigackta  dd 
dcher  de  wreto  afecu  al  rcspontablc  del  arehivo  y  demit  persona*  qoc  intervenpa 
en  cuaiquier  fase  del  tratamiento  de  lot  daiot  de  carlcter  personal,  incluto  detpud  de 
tuber  1 1 iuIi /ado  la  relackWi  con  el  titular  o  el  responsible  del  arehivo. 

Atimitmo,  cahe  recordar  la  cxistcncia  de  una  tiptficacldn  penal  ctpccifica  de 
condoctat  relacionadas  con  la  vulneracido  del  deber  de  tccreto  en  relacida  cat 
paiticularev  autondadcs  y  funcionahot  pOblicot 

Avt  cl  nuevo  Cddigo  Penal  mcluye  en  el  Capltulo  IV  dc  ui  Tltulo  XIX  (artfculoi 
413-4181.  referente  a  del  not  contra  la  Adnunittracidn  Poblrea.  (ipifka  con  carktcr 
general  las  conducut  de  infidelidad  en  la  cutiodia  dc  documcntot  y  de  la  vralactdnde 
tccretot.  Dichot  dclitot  pueden  ter  comctidot  por  autondad  o  funcionano  publico  j. 
en  cl  cato  del  aniculo  418.  por  cl  panicular  que  aprotcchara  para  ti  o  para  un  tereero 
cl  vecreto  o  la  infurmacidn  pnvilegiada  que  ohtuvicrc  de  un  funcionano  publico  o 
autoridad. 

I  on  anfcukit  198  )  199  del  rntsmo  cucrpo  legal  mcidcn  dc  nuevo  en  dichi 
materia,  pero  esu  vex  de  mosJo  mlt  ctpccffkamcnic  rclacionado  con  el  teina  que  no* 
ocupa.  El  primeto  sc  rcfierc  a  la  autondad  o  funcionario  publico  que,  fucra  de  ku 
casos  permitidos  por  la  Ley.  tin  mcdiar  causa  legal  por  dclito.  y  prevaliCndovc  dc  w 
cargo,  real  i/arc  cualquicra  dc  lat  conductat  detenu*  en  cl  anfcuki  197"  (revclacifo 


'*  Aniculo  197  I  El  que.  pom  dr*rabnr  lot 
(mnMKHn.  M  aprderr  dr  w  paprfet.  cart*,  me 
dosumrntot  o  ebsto*  pcruuokt  o  mimfpr  tm  k< 


strut  n  tulnnar  b  MI.aM.jaJ  dr  otnv  mb  ■ 
ajo  dr  canto  drsMam  o  .wlrquro  im 
iMiMMCanan  o  afalKe  arnfkio*  ksnko*  dr 


rtcuCfca.  irammnat*.  p abu*  ion  o  repradaccukt  del  uwudo  o  dr  la  imagra.  o  dr  oiatpurr  <4ra  trial  dr 
conwnlcacida.  «rri  cauifadu  con  U.  pent*  dr  prnktn  dr  uoo  a  irto*  y  awlu  dr  doce  a  wimku aw 

2  Ion  momat  proa*  «r  uvpnndrMi  al  que.  a  rstar  auun/ado.  -t  apxJrrr .  utdice  o  mnWiqnr.  n 
prryaacio  dr  teierro.  dakn  rnm  ado*  dr  (arton  pmonal  o  lamaltar  dr  t«o  que  *c  haUrn  rcpDali*  a 
archival  o  tnpwtet  Mfctmibcot.  ekclrtaicot  o  trlrmlbcot.  o  cai  coalquitf  raro  tipo  dr  arehivo  o  tcyMiv 
pMkn  o  pniado  l|*iln  proa*  *c  imp-odian  a  qmrn.  im  e*ur  auton/ado.  aterda  p*»  coilqaMf  mrd»  a 
lot  nrnaaot  y  a  qmrn  kn  alirrr  *>  utilise  m  ptfjuKM  del  Mtttar  dr  lo*  dato*  o  dr  un  lererro 

.1  Sr  unpondr*  b  pro*  dr  frutCn  dr  do*  a  <un  aAot  u  *  dilumkn.  rrsrbn  o  cede"  a  terccro*  ka 
dato*  u  hrehu*  drwuturito*  o  b*  imljrne*  laptada*  a  que  *c  rrtirern  k>*  ndmerot  Mnun 

See*  («ti|ad)  coo  lat  pram  dr  pnuda  dr  use*  a  trr*  ado*  >  mvka  dr  doer  a  inwcunv  mrxv  ri 
qur.  enn  conociirarnlo  dr  *•  ongn  ibcilo  >  un  hahrr  kxnado  pane  rn  ta  detrain m*rntu,  rralirara  la 
svmJucta  drxraa  ra  rl  pkrafo  anseocr 

4.  Si  lot  heefcot  dncniot  ra  In  apaitadot  I  y  2  dr  cur  articulo  1 1  realiun  p*«  La*  pmcoat 
racaryadat  a  rctpomaNet  dr  kit  mkm.  topmtet  utformbicra.  tlrtWaico*  o  akadbrn.  arctuvn  o 
rryitiro*.  x  unpoedrl  b  ptna  dr  pnudo  dr  kn  a  oaco  allot.  y«K  ddundrn.  erdra  o  nstlin  lot  dato* 
rrtmadm.  *r  impradri  la  posi  rn  ui  nutad  wprnor 
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de  Kcretos  frccucntcmcnie  referidos  a  information  obicniiU  por  mcdios  informiiicos 
ricctrOnicov  o  tclcnuiicovi  y.  «l  scgundo.  rclcrtdo  a  aquel  que  rcselarc  sccrctos  ajcnos 
de  lot  que  tenga  conocimiento  por  nizdn  tie  *u  oTicio  o  sirs  relaciones  lahorules  o  al 
pecdesional  que.  con  incumplimtcnto  dc  mi  obligation  dc  Mgilo  o  reserva.  divulgue  los 
wcreicn  de  oira  persona 

EtIM  dclitos  los  poetic n  comctcr  todots  aqucllos  que  rcvelcn  information  o  daios 
dc  cardctcr  personal  contcnidos  cn  los  banco*  de  memoeia  de  la  organization  a  la  que 
■ntn  o  en  archives  dc  iralamtcnio  auiomali/ado  a  los  cuaks  lengan  acccso  o 
ccoocimicnlo  por  ra/On  dc  su  relation  funcionarial.  lahoral  o  dc  simpk  ancndamicntn 
deiervicios. 

La  pcrui  para  las  cooductas  iipiftcadas  cn  cl  anfculo  198  del  COdigo  Penal  cs  la 
pre voia  en  cl  aitfculo  197  (oscilan  cmre  penas  dc  I  a  .'  aflos  dc  pnsiOn  y  12  a  24 
rases  dc  mu  I  la  y  cualro  a  side  aflos  dc  prisidn  mis  la  nusina  mulla.  segdn  las  diversas 
ccoducias  tipificada*  cn  cl  arliculo  197).  inis  la  inhabililaoOn  ahsoluta  por  ttempo  dc 
kb  a  doce  aflos  por  traiarsc  de  un  dclito  especial,  cslo  cs  aquel  que  sdlo  poetic  set 
cemciido  poe  dcicrmmatlos  sujetos.  cn  cste  caso  autoridad  o  funcionario  pdblico. 

LI  articulo  199  tipiflea  cspccilitaroentc  las  conducias  de  reveUctOn  por  pane  del 
mhayadoc  o  profcotxi.il  dc  sccrcios  dc  los  que  lenga  conocimicnto  por  ra/dn  dc  sus 
Ktividadcs  laboralo  o  dc  artcixlamicniu  dc  scrvicios.  sc  prevc  para  elhw  una  pena  dc 
potato  dc  uno  a  ires  anos  y  mulla  de  scis  a  docc  mcscs  para  cl  primero  ((rabajador)  y. 
de  uno  a  cuatro  aflos.  mulla  dc  docc  a  veinlieuatro  mcscs  c  inhabilitacidn  especial  para 
dcha  profesiOn  por  I  tempo  dc  dos  a  scis  aflos  para  cl  segundo  (profctional). 


d)Reconoclmlonto  cn  el  contrato  dc  la  labor  quo  cumplcn  y  de  la 
responsabilidad  que  ostentan 

Es  por  todo  lo  anterior  que  cn  cl  contrato  laboral  que  unc  a  la  organization  con 
nn  traKtjadorcs  ha  dc  expresarse  la  garanlia  dc  b  confidcncialidad  dc  Us  informa- 
cuncs  proptas  dc  la  misrna.  Espccialmcnic  debe  proccdcrsc  a  cxigir  U  confident  ia- 
Ultti  cn  cl  caso  dc  manipulation  Oc  daios  dc  canktcr  personal,  r.sa  confldcncialMad 
n  realstlad  ncccsarb  tanto  en  cl  caso  de  gtsiidn  como  cn  cl  dc  rncro  acccso  a  Us 
aiquinas.  Afecta  a  lodos  los  cmplcados  que  puedan  lencr  algOn  tipo  dc  comaclo  con 
In  miquinas.  programs*.  instruccioncs ... 


5  Igtulmrow.  cuando  lu*  bethos  dncnits  cn  lot  ifurudcn  aMmoccs  alette*  a  daim  dc  canktrr 
imeoaJ  que  rcsekn  la  tdcolofii.  irlipla  cremcia*.  vilod  ingen  racial  o  tail  «tuil.  o  la  iktimi  lucre 
»«m  dc  rdad  o  un  acapar.  u  impoodrin  In  pena*  pervitin  n  w  mrtad  tuprncr 

A  .  S»  It*  heslsnt  tc  rcak/an  coo  fine*  lucrum*.  tc  impcodrin  las  pen**  mpcvtivunrace  pretnut 
n  Ira  ^wladtn  I  al  4  de  cue  arttcvki  cn  hi  nutad  MgrvHr  St  adettUs  alee  (an  a  daft.*  dc  lot  mcncKoa 
dsracl  .<pan«i>  }.  la  proa  a  mp«r  tcrl  la  dr  pntidn  dr  ruaaro  a  wctc  ado*. 
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Y  ello  (torque  cxiste  una  traslaciOn  de  Us  responsabtlidadeA  tic  Ion  encargadoidc 
la  informacidn  a  sin  coUboradores.  dchicndo  avumir  cada  uw  de  ellos  w  props 
rrsponsaNtidad  Si  bien  U  normaliva  Uboral  protege  al  Irabu  ador  y  rcsponuhlu* 
fretuc  a  terceros  a  quten  le  orgamza  U  (area,  en  cl  caso  de  que  la  actuactdn  del 
iraba>ador  pueda  ser  presuntamente  delicti*  a.  aunque  ftel  a  la  tmpresa.  aquello  no  It 
cxcuta  de  Us  respoasabtlidadcs  pcnalcs  adquindat  en  cl  accent  y  traurroento  de  b 
informacidn.  Es  rccomendablc  pues  el  conocimienio  claro  de  Us  obligacioacs  j 
dcbcrcs  que  cocnpurta  el  uso  de  mformactdo  "sensible"  de  U  organization  y  de  las 
daios  de  carictcr  personal  por  parte  de  los  traba>adores  Ad  le  evitan.  de  paso.  lot 
"descuidos  negligentes". 


e)  Quo  los  contratos  con  los  proveedores  aseguren  la 
confidenclalidad  del  archlvo  y  de  la  Informacidi 

En  el  caso  de  que  lo  que  sc  maiupulen  scan  archivos.  cs  ap  icable  a  este  Ambito  d 
artfculo  10  de  la  LOPD.  todas  las  personas  que  intervengan  en  cuakjuier  fasc  dd 
tratanuento  de  U  informacidn  estin  afectos  a  U  obligacidn  del  deber  de  secrcto.  >  par 
lo  Ian  Us  lambiCn  los  proveedores  en  U  medida  en  que  interwenen  en  una  fase  del 
tratanucnio  o  mantemmiento.  Ad.  los  contratos  coo  los  paosecdore*  no  puedeo 
descuidar  el  principio  insptrador  de  U  legitUcidn.  esto  es.  U  confidenclalidad  de  U 
informacidn  y  la  salsaguarda  del  derecho  a  la  mtimidad.  Tambidn  les  es  apltcabie 
el  principle  de  buena  fe  contractual  que  ha  de  presidir  Us  relacioncs  mere 
comerciantes 


21.4  AUDITORiA  DE  LA  INFORMACIpN 

Una  vez  visto  el  material  y  Us  personas  que  lo  usan  debeno*  ser  el  objeto  Idgico 
a  auditor  la  informacidn.  El  auditor  deb e  comprobar  que.  en  rebetdn  con  la  rtusnu,  se 
cumplen  los  requiutos  Msicoa  del  derecho  en  general  y  de  los  propsos  cspcctficos  ra 
particular. 

Ad.  en  cuanto  a  los  Pnnciptos  relativos  a  U  informacidn.  debido  a  la  mexistcacia 
de  unos  ctpccfftcos".  podemos  establecer  una  anaktgU  con  los  rcquisilcn  rccogidot  m 
cl  artfculo  4  de  la  LOPD.  en  relacidn  a  U  calidad  de  los  daios.  b  necctidad  de  su 
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adccuacidn  y  pcninencia.  y  que  no  vein  excesivox  en  relacidn  «hi  el  imbito  y 
foilidadcs  legitimas  para  lax  que  xe  hayan  obtemdo. 

La  information  no  podxi  uxarxe  para  FINAI.IDADKS  INCOMPATIBLES  con 
jqucllax  para  lax  que  foe  sclcccionada.  y  debera  ser  cxacu  y  puexu  al  d(a.  Si  no  ex 
exacta  o  cxia  incompleta  debe  xer  cancelada  o  xuxiiiuida  por  la  ccrrecta.  siendo 
cancelada  cuando  deje  de  xer  nccesana.  no  pudiendo  xer  conservada  (xdvo  en  el  caso 
en  que  »e  decida  xu  mantenimiento  por  xalorcx  histdheos  o  cicnt(frcoi)  una  xe/  que 
deje  dc  xer  dtil  para  la  funcidn  previxia.  coo  exception  de  la  IcgixIacOn  previxta  al 
efeeto  (Obligacioncs  Fiscalcs.  Scgurox...). 

Sc  debc  almaccnar  dc  forma  tal  que  pcrmiia  de  una  mancra  facil  cl  cjcrckio  del 
derecho  dc  acccso  dc  lew  afcctado*  a  la  mixma.  comprobando  uinbten  el  auditor  que 
<xu  no  xc  haya  rccogido  por  mediox  fraudulcntos.  dexlcalex  o  ilicrlox. 


21.5.  AUDITORiA  DE  LOS  ARCHIVOS 

Qui/i  donde  la  Auditorfa  Juridica  sea  mix  neccxana  ex  cn  rl  terreno  del 
tratamiento  de  lox  archivov  Anali/amo*  a  continuation  dixtintox  aspect  as  que  puexlcn 
irr  dtilcx  para  una  mejor  comprenxiOn  dc  la  matena  ante  la  que  nos  enccntramox.  para 
puai  xeguiilamente  a  un  rccomdo  por  lox  diferentea  aspcctox  que  e  auditor  debe 
eumnar. 


21.5.1.  Niveles  de  proteccidn  de  los  archivos 

La  ley  Orglnica  S/92  de  29  de  octubrc.  de  rcgulaciOn  del  tratamiento 
MComMirado  de  datos  dc  corkier  personal  (LORTAD).  xeftalaba  cono  objcitvo  el 
tartar  el  uxo  de  la  informitka  y  oirax  kcmcas  y  mediox  dc  tratamiento  automat irado 
pea  garanti/ar  el  honor,  la  intimidad  personal  y  familiar  de  lox  ciudadmox  y  cl  pleno 
cjcrckio  de  axis  dcrcchox,  aplicindoxc  lanto  a  lox  archivos  pdMicos  como  privadox  que 
cwtovicran  datos  dc  caflkter  personal. 


21-S.t.l.  Archivos  rxcluidox  de  la  aplkacidn  de  la  lopd 

Extin  incluidox  en  la  Icy  todos  los  archivos  que  contengan  infonaaoOn  o  datos 
pcnmalcs  salvo  los  que  extbn  exprexamente  excluidox.  xea  efeciuada  deha  exclusion 
por  la  premia  Icy.  sea  efeciuada  por  rcm»i6n  de  la  mixma  a  regulation  expccifica  del 
bpo  de  archivo  dc  que  sc  tratc. 


Como  excepcionex  a  la  aplicaciOn  de  la  LOPD  se  rexeflan  en  xu  an.  2.2. 
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21.5.1.2.  Arrhivott  con  regulation  npcdnca 

Determinailas  materia*  sc  regiran  por  sus  disposictonc*  propias.  A\(.  cnstra 
regulactoncs  cspecifica*  cn  materia  de  rtgimen  electoral.  Ley  Orgimca  5/85  de  19  dt 
yunio.  I  cy  Orgimca  I.W4  de  30  de  mar/o.  que  modifica  la  anterior;  maienat 
clasificadas  (secrcto  ofkiall.  de  Ley  9/68  de  5  de  abnl  y  Ley  48/78  de  7  de  cxtu<xi 
que  modifica  la  anterior;  Registro  Civil.  Ley  de  8  de  junto  dc  I9S7.  Rcglamcnto  dd 
Registro  Civil.  Deer  do  de  14  de  novicmbrc  de  1958;  Registro  Central  dc  Pcnadosy 
Rcbcldcs;  los  datos  que  tirsan  cxclusavamentc  para  lines  rsiadimcos  aniparudos  fur  U 
l.ey  1 2/89  dc  9  de  mayo  de  la  Funcidn  Estadistica  Ptibliea;  I  os  informes  personates  a 
que  sc  rcfierc  cl  artfeuki  68  dc  la  Ley  17189  de  19  de  jutio  dd  rdgimen  del  personal 
militar  profexional. 


21.5.1  J.  (iradw  de  protec  cion 

Dentro  de  Ion  archivos  someudos  a  la  Ley  y  cn  rclacibn  con  los  datos  en  ellot 
contcnidos.  podemos  hablar  dc  ditenos  grados  de  prolcccidn.  Se  regulan  en  los  arts  7 
y  8  de  la  LORD  ties  upox  de  protcccidn.  maxima,  media  y  minima.  La  pttntxcUm 
maxima  sc  otorga  a  datos  rcfcrcntcs  a  ideologia.  rcligidn  o  crecocias  y  por  la  cual 
nadie  podra  ver  obbgado  a  decLarar  sobre  estos  datos.  salvo  qtK  cl  afectado  conuenu 
cxprcsurncntc  y  por  escrito;  extste  una  obligation  de  adveiur  al  intcrcsado  a  v> 
derecho  a  no  prestar  su  conscntimicnto.  la  prolcccidn  media  sc  otorga  a  los  datos  que 
sc  rcficran  al  on  gen  racial,  xalud  o  vida  sexual,  y  mMo  podran  recabarsc  cuando  por 
ra/ones  de  interes  general  lo  disponga  uiu  Icy.  La  prolcccidn  minima  sc  rcfierc  a  la 
obligacnVi  dc  toda  persona  o  entidad  que  proceda  a  la  crcaci6n  de  archivos 
automati/aden.  de  datos  de  carictcr  personal  de  notificarlo  prctiamcncc  a  la  Agencu 
dc  Protcccidn  dc  Datos.  Dicha  notificacidn  deberi  contcner  ncoesariamentc  cl  nombre 
del  responsablc  del  archivo.  la  finalidad  del  nusmo.  su  ubicacdn.  cl  tipo  de  carictcr 
personal  que  coolie  ne.  las  medidas  dc  seguridad  y  las  ce  si  ores  de  datos  dc  stric¬ 
ter  personal  que  sc  prevean  rcali/ar  Deberin  comunicarsc  a  la  Agencia  de  Proteccsfa 
de  Datos  tambidn  los  cambtos  que  sc  produzcan  en  la  finalidad  del  archive 
automatizado.  cn  su  responsablc  y  cn  la  direccidn  de  su  uhicacion. 

El  Rcgistro  General  de  protcccidn  de  datos  inscnbiri  cl  axhivo  automalirado  si 
la  notificacidn  sc  ajusta  a  kn  requisitos  exigible*  En  case  contrano  podri  pedu  que  tc 
completen  los  daiot  que  fallen  o  sc  proceda  a  su  subsanacidn  Transcumdo  un  met 
desde  la  prcscntacidn  de  la  tolicilud  dc  inscripcidn  sin  que  la  Agencia  dc  ProteccuSo 
de  Datos  hubicra  rcsuelto  sobre  la  misma.  sc  entenderi  inscrito  el  archiso 
automatizado  a  todos  los  cfcctos. 
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21.5.2.  Mecanismos  de  seguridad  del  archivo 

En  cuanto  a  U  seguridad  dc  los  datos.  cl  aniculo  9  de  la  I.ORTAD  establece  que 
tl  responsible  del  archivo  (figura  cicada  por  la  LOR  TAD.  que  se  analiza  en  el 
iparudo  siguiente)  deberf  adopur  medidas  neccsarias  para  maniener  la  seguridad  de 
los  dal  os  y  cviiar  la  altcracidn.  pcrdida  o  acceso  no  auiorirado  a  los  mismov  F.l  auditor 
debe  vcrificar  si  esias  medidas  se  han  csiablecido.  asf  como  el  mdtodo  de 
implantacidn. 

Adeinis.  y  como  ya  hcmos  visio  antcriormcntc.  lanlo  el  responsable  del  archivo 
como  las  demds  personas  que  mtervengan  en  cualquier  fisc  del  tratamiento  de  los 
duos  de  caricter  personal,  incluso  despuds  de  haber  finalizado  la  rclactdn  con  el 
WuLir  o  cl  responsable  del  archivo.  ticnen  la  obligacidn  del  deber  dc  sccrcto  LI 
•alitor  deberd  comprobar  si  el  responsable.  mdximc  cncargado  de  la  integridad  y 
teguridad  de  los  archivo*.  ha  verificado  las  medidas  oponunas  y  si  procura  por  la 
seguridad 
de  aqudllos. 


21.5.3.  Formaci6n  de  la  figura  del  responsable  del  archivo 

La  figura  del  responsable  del  archivo  cs  creada  por  la  I.ORTAD.  que  la  define  en 
n  wticulo  3  como  la  persona  ftsica.  jurfdica  dc  nalurale/a  ptlMica  o  prisada  u  drgano 
tdouiiitraliso  que  decida  sobre  la  finalULad.  conlcnido  y  uso  del  tratamiento  citado 

El  responsable  del  archivo  actiia  como  cabcza  visible  de  la  seguridad  de  los 
■thivos  A  pesar  de  que  la  pucsta  en  prdctica  de  las  medidas  sea  llevada  a  cabo  por 
«ras  personas  dentro  de  la  orgamzacidn.  aqudl  se  conviertc  cn  cl  mlximo  responsable. 
de  esancra  que  la  toma  dc  decisiones  en  esc  campo  sdlo  a  dl  !e  concspondc.  y  no  a 
otros  miemhros  de  la  organizacidn.  aunque  participen  en  el  tratamiento  automatizado 
deta  datos. 

D  auditor  debe  comprobar  la  cxistcncia  dc  un  responsable  real  del  tratamienio 
aBorutizado  dc  datos.  dorado  de  la  autoridad  suficiente.  de  modo  que  dste  pucsla 
camplir  las  funciones  que  le  estin  cncomcndad&s  y  as(  evitar  (recordemos  la  funcidn 
peventiva)  las  inregulahdades  dc  aquel  tratamiento.  Pens  no  debe  control ar  tan  sdlo  la 
pMibtlidad  cfcctiva  de  dcsenvolvimiento  dc  sus  1  areas,  sino  que  tambidn  debe 
wifi car  si  dsta  se  (leva  a  cabo  dentro  de  los  Emiles  correspondienics.  Asf.  y  a  modo 
de  ejemplo.  el  responsable  ticne.  entre  otras: 

a)  la  obligacidn  dc  com  unicar  al  afectado  la  cesidn  de  datos. 

b)  La  obligacidn  dc  confidencialidad. 


www.FreeLibros.me 


■Wt  AUPtTOKlA  INTOHMATIt'A  UN  KitOQUf.  HIAOirO _ «U» 

c)  La  obligacibn  tie  hacer  elective  cl  derccho  tie  acccso. 

d)  1  j  obligacidn  de  hacer  elective  ei  derccho  de  bloqoco. 

e)  La  obligacibn  de  hacer  elective  el  derccho  de  cancclacibn. 

0  I -a  obligacibn  de  hAcer  clcctivo  el  derccho  de  rcctificacibn. 

g)  La  obligacibn  de  hAcer  clcctivo  cl  derccho  de  supreubn. 

h)  La  obligacibn  de  informar  del  traumiento  de  los  dates.  Ia  obligacibo  de 
infomsir  cn  U  rccogida  de  lot  dates 


Existc  un  procedimienio  admimaraiivo  dc  rcclamacibn  ante  la  Agenda  de 
Protcccibn  dc  Dates  pot  mcumplimicnto  de  aqocllas  obligaciones  qoc.  come  Semoi 
vc/Ulado  anteriorrocntc.  puede  finaluar  ee  cuanhosas  sAncioaes.  por  cllo.  el  auditor 
juridico  debc  verificar  si  cl  compottamicnio  del  responsable  sc  ajutta  a  aqurllas 
obligacioocs  por  el  propio  interns  del  audtiado. 


a)  Requisites  de  creaclon  de  archivos  de  titularidad  publica  y  de 
litularidad  privada 

La  LORTAD  parte  de  la  distincibn  titularidad  privaeWtitularidad  publica  para  d 
anilius  dc  los  archivos.  prcvicndo  distmtos  reejuisitos  para  su  crcacibn.  modificacria 
y  cxtincibn.  Otra  urea  del  auditor  juridico  es  la  de  verificar  qoe  se  hayan  cumplido  lot 
requisites  cxigidos. 

Bn  cuanto  a  len  archivos  de  titularidad  publica.  la  creacsAn.  modification  o 
supresidn  de  los  mitmos  solo  podrdn  hacer  sc  por  medio  de  disposition  general 
public  ado  en  el  "Boleiw  Oficial  del  Esiado~  o  diario  ofleial  correspondiente  Dichit 
dixposicioncs  de  crcacibn  o  modificacibn  deberan  indtear  a)  La  finalidad  del  archivo 
y  lo*  umh  pieviilM  p»r»  el  mumn  h)  I  m  personas  n  i-olectivns  sober  los  que  ir 
prctensla  obtencr  datos  de  carictcr  personal  o  que  resultcn  obltgado*  a  suministrarion 
c)  HI  procedimienio  de  rccogida  de  los  daios  dc  car  icier  personal.  d>  la  ettmetun 
bisica  del  archivo  automati/ado  y  la  desen  pet  6n  de  lo*  tipos  de  datos  dc  carlctcr 
personal  incluidos  en  cl  miemo  e)  Las  ccmoocs  de  datos  de  carictcr  personal  que.  ea 
su  caso.  te  prevean.  0  1-os  brgano*  de  la  Admimstracido  rcsponvables  del  archivo 
auiomatieado.  g>  Los  scrviciot  o  unidadcs  ante  los  que  podicran  cjcrcitanc  lot 
dcrcchos  de  acccso.  recti  ficacibo  y  cancclacibn.  En  las  disposicionc*  que  sc  dictcn 
para  la  super vk^i  de  los  archivos  automaii/ados  sc  csublcccri  el  destine  de  kis 
nusmos  o.  en  su  caso.  las  prcvisiones  que  sc  adopter)  para  su  dcstniccibo. 
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En  cuanto  a  !o*  arrhivos  de  tilularidad  pritada  quc  contengan  daos  dc  caracter 
personal.  podrin  crrarsc  cuando  rcsulte  necesano  para  cl  logro  dc  la  actnidad  u  obycto 
kgitimos  dc  la  persona.  empecta  o  cnitdad  titular  y  sc  respetcn  lav  gtranliax  quc  la 
I.ORTAD  establccc  para  la  proteccidn  dc  las  personas.  Toda  persona  o  entsdad  <p»e 
ptoceda  a  la  creacsbts  de  arclutos  aulomatizados  dr  datos  dr  cardcur  personal  lo 
nonficard  pres  samente  a  la  Agenda  dr  Proteccidn  dr  Halos  La  nottfraesdn  debert I 
amlrnrr  necesarsamerste  rl  responsible  del  orthho.  la  finalidad  cel  mismo.  fa 
•bscacsda.  el  tipo  dr  datos  de  car  deter  personal  tfttr  conrienr.  las  medsdas  dr 
tegundad  y  las  cetkmrt  de  datos  de  cardcter  personal  spur  sr  pres  ran  reals  tar. 
IVbcran  comunicarsc  a  la  Agcncia  de  Proteccidn  de  Data*  lot  cambtos  quc  *c 
produ/can  cn  la  finalidad  del  archive  automaU/ado.  cn  su  respomable  y  cn  la 
drccctdn  dc  su  ubtcaodn.  El  Registro  General  dc  Protcccido  dc  Gales  inschbtri  el 
irchivo  automaurado  si  la  nouficacidn  sc  ajuvia  a  lot  rcquivitos  exigihlcs.  En  cavo 
oootrano  podrl  pedir  quc  sc  completon  lot  dates  quc  fatten  o  sc  proceda  a  su 
wbtanactdn  Transcumdo  un  met  desde  la  prcscniaodn  de  la  softcitud  dc  iisscnpcstSo 
sin  quc  la  Agcncia  dc  Proteccidn  de  Dates  hubicra  rcsuclto  sobre  la  mitma.  tc 
cntcndertl  inscrito  el  archtvo  automati/ado  a  todos  lot  efcctos. 


>)  \  rriOracidn  dd  conscntimicnto 

Scguidamcntc  haccmos  refertneia  al  quc  la  I.ORTAD  denomma  afectado'1.  cs 
dretr.  cl  titular  dc  los  datos  quc  sc  tralan  Para  quc  el  tratamicnto  de  datos.  cn 
nulquicra  de  *us  fates,  cuntpla  la  Icgalidad  vigente.  sc  dr  be  rccator  siempre  cl 
comentimicnto  del  afectado:  ello  sc  regula  cn  cl  art.  6  dc  la  LORTAD.  sicndo  regia 
twrsana  quc  cl  tratamicnto  automau/ado.  salvo  algunas  cxccpcioncs.  rcquicra 
conscntimicnto  del  afectado  Esc  conscntimicnto  dcberl  manifertarsc  cn  dos 
■ommtos  cn  la  recogtda  dc  la  informaciOn  yen  la  ccsido.  en  su  cato.  Es  urea  del 
•editor  juridico  la  comprobacidn  dc  la  cxistcncia  de  dicho  conscntimicnto  y  quc  cl 
orano  tc  ha  recabodo  atcndicndo  a  los  requtsitot  leg  ales 

B  conscntimicnto  sc  podri  otorga r  cn  cualcsquicra  dc  las  formas  admisiblcs  cn 
Dertcho.  Salvo  para  aqocllos  cases  cn  quc  la  Ley  Orgimea  presea  quc  cl 
comcntimienlo  haya  dc  otorgarse  expresamente.  podri  otorganc  tiatamente  o  dc 
■ofe  presunto.  Para  quc  cl  conscntimicnto  tea  saixlo  sc  rcquierc  quc  os  datos  no  se 
tccabm  por  medios  fraudulentos.  desleales  o  ilicilos.  El  cooscntimierto  dado  pucslc 
K>  rcvocado  en  cualquier  tnomento.  pero  no  se  Ic  podrfn  atnbuir  cfcctn  retrooettvos 
•  larevocacidn.  En  el  case  dc  datos  etpccialmcntc  protegidos.  referidosa  la  idcologia. 
rtlig»6n  o  crecncias.  se  deberi  advemr  cxpMcitamente  tobre  el  dcrcchodcl  mteresado 
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a  no  prcMar  su  conscntimicnio.  Asimismo,  serf  nrquisito  para  la  validez  dd 
comeniimienio  que  dc  modo  previo  e  inequfvoco  sc  adviena  al  inieresado  de  U 
cxisicncia  de  un  archivo  automatizado.  dc  la  finalidad  del  mismo.  dc  los  dcsiiiuurios 
dc  la  informaetdn.  del  carfctcr  obligatono  o  faculiatiso  de  su*  respoesUs  a  las 
pregunus  planleadas.  de  las  consccucncu*  dc  la  otxcncidn  dc  los  dales  o  de  b 
ncgativa  a  suminislrirlas.  de  la  poubihdad  de  ejercitar  los  dercchos  de  acceso. 
resii ficacidn  y  cancelacido.  >  de  la  idenodad  >  direct  ado  del  responsible  del  archiso. 
Cuando  se  utiliccn  cucstionariot  u  oirot  impresos  para  la  rccogxlj  deben  figurxr  Its 
adseriencias  seflaladas  en  los  ponlos  anienores. 

Kn  cuanlo  al  consentimienlo  para  la  cesidn.  file  ha  de  ser  previo.  requindndoie 
adcmls  que  cl  cesionario  sea  determinado  o  determinable,  cn  case  cooirano  d 
consenuiTuenio  serf  nulo.  El  que  el  coocepio  de  cesionario  sea  determinado  o 
determinable  signified  que  serin  nulas  las  cesiones  o  autorizaciones  excesivamenie 
ampliax  cn  la  que  «e  deje  en  manos  del  cedcnte  la  decision  de  ceder  los  dalos  a  una  • 
oira  persona  y  el  afectado  no  pueda  saber  en  Oltimo  ifrmino.  mediantc  regia*  setxillas 
dc  identiflcacidn.  quidn  dispone  dc  sus  dalos  personates.  Tambidn  serf  nulo  d 
conseniimiento  cuando  no  constc  la  finalidad  de  la  cesidn. 

El  auditor  debe  comprobor  la  plasmacidn  efectiva  de  estos  requisilos  temendo  en 
cucnta  uinNcn  que  se  prev&i  una  serie  de  exccpcioncs  al  coosentinucnio  dd 
afcctado'^1. 

El  afectado  cs  cl  scrdadcro  propictano  de  sus  dalos  personates,  de  la  informocidn 
que  desprende  y.  pot  tanto.  es  sdio  Cl  quien  debe  consentir  su  uso  (en  cavo  de  menores 
dc  odad  el  conseniimiento  sent  cl  del  tutor).  Poe  ello.  hay  que  cstaNcccr  los  controlet 
necesarios  para  garanti/ar  que  el  afcctado  ejerza  su  detecho  de  consentir  el  uso  y 
cesidn  dc  sus  dates,  ya  sea  rfeito  o  expreso  en  el  caso  de  dalos  de  salud  y  lot 


>  La  LOftTAI)  ctuMccc  (onnrumK  cuando  uni  ky  dispone  «n  rax  cuaado  sc  mofn  <n 
fumtrs  accetibks  xl  puMuo  tacmpec  q mt  to.  d*k»  prusengan  Ur  archisw  dr  trtuUrslad  pn.»ii  q«r  K 
rrvfjw  pm  cl  eyercicio  dr  Us  fuackinet  ptupu*  dc  Us  AdawUslracsracs  PuMkk  que  w  teften*  i 
pc»s<«n»»  vmculada*  pur  uru  relacidn  arfccuL  UtvnL  ktamimmi  o  un  cuMraAo  >  trxn  (Knew 
pan  el  nuMnuuKo  dr  Us  rrlacionr*  o  par*  el  cumplurarnto  dri  nattili).  que  U  ((sits  qur  Mi 
efts  nurse  leaf*  pur  dcnnuUno  rl  Defense*  del  PurNo.  el  Mmisieno  Fiscal  o  lot  Jueccs  o  Tntunak*.  n 
el  ejetcieio  de  Ian  hacacees  que  neera  acnbuid**.  cuando  U  cesidn  > e  pnduc*  emre  kai 
Adnamnnan  hlblloi  ra  kn  uipuesm  pretttkis  n  el  Mlnfc  19  de  U  LOR  TAD.  cuando  U  scute 
dc  dalos  de  cartcter  personal  rtlaivo*  *  U  saiud  tea  necesaru  pan  wkoteii  una  arpencia  qec  rcqjen 
accedn  a  a  arelnsv'  auiomatirado.  o  para  rraJkrar  lot  esisdoi  cpdnwUpnii  cn  lot  iteam 
rsubkcido*  ra  e!  artkulo  X  dr  U  Ley  1411*16.  de  2S  de  ahnL  General  de  Sanidad 
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Mfecialmentc  peoicgidot,  garanti/undo  que  ve  cancclcn  ciundo  dcjcn  de  ter 
Kccswios1'. 


IVbc  eviurte  coo  dlo  que  te  tiga  con  la  negativa  pnktka  habitual  en  la  que  no 
tc  pule  el  conteMimiemo  ni  para  cl  uso.  ni  para  la  cetidn.  onow  clanlka  sufictcnic  m 
wo  ni  otro  cn  la  toma  do  datot  (no  ve  cumplc  con  el  dcrccho  a  la  informaodn  cn  la 
recog  id*  dc  datot).  Tumbidn  es  (rccucntc  cncontrarte  que  en  el  dcrccho  do  acceto. 
Rctifkacidn  y  cancclacidn  te  cut  negando  parte  do  la  informaodn  que  tc  tienc  dc  un 
jfccudo.  de  mancta  wtiemiiica  y  contcicntc.  debido  al  on  gen  irregula-  por  cetionet 
tthtat  que  componarfan  borrarlat  para  rcgulan/ar  afladidndotc  a  lot  cotlct  dc 
Rcogida  y  dc  regulari/acidn".  Pcro  dichot  cotlct  ton  mtaimot  m  te  coinparan  con  lat 
taacimct  e  indcmniMctonct  que  he  mot  mcncionado  cn  la  inuoduxidn  de  ette 
•abajo. 

hi  auditor  dche  teAalar  aqucllot  deletion  que  aprecie  cn  cl  otorgamtento  del 
comcntimicnlo  por  pattc  del  afcctado  a  la  empreta  privada  o  Adminiti-acidn  Pdblica 
tuditada:  aqucllat  irregularidadct  juridicat  que.  prreitamente  por  ter  dicho  auditor 
ndepcndicntc.  ptiedc  ay  udar  a  tubtanar  al  nutmo  tiempo  que  te  evi'an  de  cara  al 
hturo.  cotaborando  con  tu  contejo.  a  la  crcacidn  de  una  mentalidad  rctxluota  con  la 
Wintdad  del  ciudadano  dentro  dc  la  cttructura  que  audita 


c)  Mecanlsmos  de  defense  de  los  incluldos  en  el  archlvo 

El  afcctado  tienc  unot  dcrcchot  por  ley.  reconocidot  en  la  LORTAD.  cn  rclactdn 
con  la  inclusidn  dc  tut  datot  cn  un  archivo.  Ettot  dcrcchot  tenen  canktcr 
penooalltimo.  por  k)  que  tdlo  pueden  cjcrccrtc  por  pane  del  mitmo  o  »t  repretenume 
legal  Lot  dcrcchot  ton  lot  tiguientev  dcrccho  dc  impugnacidn.  dcrccho  a  la 
nformacidn  cn  la  rccogida  dc  datot.  dcrccho  dc  acccto.  dcrccho  de  xctificacidn  y 
dcrccho  de  cancclacidn.  El  auditor  debe  comprohar  que  ettot  dcrcchtt  tc  rrtpclan 


■'  F»  nami  Ur  pouclOi  Ur  «nwoi  Ur  atominM  whet  tolvcncia  patniwnul  >  aMilunnK 
b  ctefjoda  Ur  runaoirar  la  incteuca  rn  torn  wtnin  < ptc  tc  rtlmaic  tan  a  !o>  tupartkn  Ur 
dnmaciOn  tort  totvenoa  ptfnmutul  y  cfhdao.  curb  *  U  inloramciOfl  rclartta  a  tumf-kaarMo  o 
■nwftiirucato  Ur  rhltgacwnrt  Uinrramt.  or  taUcpraUracia  Url  nn*m  Ur  lot  Ualm  la  ittiticiixVi  Ur 
k  ulnte  Ur  Uilnt  pertraalrt  m  tl  ardiira  tr  rlMuirl  ra  rl  plaro  mfatmo  Ur  JO  duo  ttkcntiado  al 
UkoU>  Ur  w  Urrrchn  *  nrrahir  information  tehee  lot  Uaim  rccofidot  ni  tl  archivo.  la  utwnpnfa  ca  <1 
■rikno  cumUn  Ur  la  cMifacKto  mtumpliU*  te  cCectaart.  tarn  ra  «■»  veto  aornto  «  tunr  Ur  tcottaucaoo 
taco.  Nea  rn  unlo*  aticnlot  ctano  tcatumcMot  pmUwn  iiKwnphUot  et  van.  teiUUfWki  la  feekt  Ur 
at*  mo  Ur  tlk».  rn  rvr  cam  Sr  rlMurt  una  oolifKacirin  [««  raUa  UruUa  crrwrto  )  drtmtanaUa  coa 
nUrfmimu  Ur  que  Ctu  te  tea**  coo  rl  nutmo  n  ora  Umaaot  acrrrUcrct  B  irtporwMr  Url  archivo 
t&crt  aUoplar  la.  mcdidat  organi/antm  y  tUcnicut  nrcctariat  que  ptcmiias  arrrdaai  la  rralirandn 
aantal  Url  rntto  de  accrficaofo  y  la  freha  Ur  merry*  o  aarrao  Ur  twnjl  Ur  la  moan  La  irafieatiUn 
<t  4*tt> n  a  U  ofcmi  Unccidn  coocod*  Url  afectaUo  a  «r»tCt  Ur  un  aad»  f.aNe  e  aUrfcivhrWe  Url 
aqcmaNr  Url  aitno. 
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**min.  u  *  <  nmmm  ...act.  n*  2J.  torero  IW.  aAo  VI 


www.FreeLibros.me 


M  AlUXUXlA  IMORMATICA  UN  tjNPOqUfc  FKACTICO 


tcrdaticianicriic  y  sc  cumplcn  cfcctivjmcnic;  on  dcfimiisa.  m  (icncn  un  cficaz  rrflejo 
cn  la  prictica.  al  procurarsc  por  pane  de  la  cmprcsa  o  Administration  Publico.  a 
tie)  responsible.  mi  cumpliinicnto. 

HI  afcctado  pucdc  impugnar  (dcrccho  a  la  impugnacidn,  art.  12  dc  la  LORTADl 
lo*  ados  administrativos  o  dccisionet  privada\  que  impliqucn  uiu  valotacito  de  m 
componamicnto  cuyo  umco  fund  amend*  va  un  traumicnto  auiomati/ado  de  data*  de 
carActer  personal  que  ofre/ea  una  defimeidn  de  tut  caracterfsticas  o  persooalidad.  bte 
dcrccho  guarda  evidentemenle  una  esuveha  rclacidn  con  el  dcrccho  dc  acceto  que 
anali/amot  mil  adclantc. 

HI  afcctado  debc  tuber  udo  informado  cn  la  rccogida  de  datos  <  derccho  de 
information  en  la  rccogida  dc  datos,  artkulo  5  de  la  I.OKTAD)  dc  modo  prow  e 
incqui’voco  dc  la  caLttcncia  dc  un  archivo  automatirado.  dc  la  Tinalidad  del  mitmo.  de 
lo*  dcstinatanos  dc  la  informaetdn.  del  caflktcr  ohligatono  o  facultative  de  tut 
rrtpurtiat  a  lac  pregunta*  plantcadas.  dc  las  consccucncias  dc  la  obecncidn  de  toe 
datos  o  de  la  ncgativa  a  MiminiMrarkw.  dc  la  potibilidad  dc  cjcrcitar  los  dcrechos  de 
acccso.  rectificacidn  y  cancelacidn.  de  la  identidad  y  direction  del  responsible  del 
archivo"' 

Cuando  sc  util  icon  cucstionanos  u  otros  impresos  para  la  rccogmU  deben  ligurar 
las  advcrtcncias  schaladas  en  los  puntos  anicnorc*.  No  serf  neccsaria  la  informacito 
refenda  antcmxmenie  si  el  coneenido  dc  clla  sc  deduce  claramcntc  dc  la  naturalcza  dr 
los  datos  pcrsonalcs  que  sc  solicitan  o  dc  las  circunslancias  cn  que  sc  recaban 

Hi  auditor  comprucbj  que  dieba  mfoemacidn  tea  dcbulamcnle  sumimsirada. 
verbalmente  o  por  esento.  cn  su  caso.  haciendo  cfectivo  cl  dcrccho  a  la  informacida.  y 
que  por  lo  tanto  lot  datos  obtenidos  cn  esc  imbito  junto  con  los  oeros  requisites 
legates  cxigidos,  scan  objeto  dc  un  tratanuento  auiomati/ado  correcto. 

En  lo  referente  al  dcrccho  dc  acceso  (an.  14  dc  la  IXIRTAD.  arts.  12  y  13  del 
RD  1332/94).  consistc  cn  la  facultad  o  capacidad  que  sc  rcconocc  al  afcctado  de 


11  Sober  lot  ibm  ahrtKcnmdit  uMculo  l.l  dc  U  I.OKTAUl,  rl  Rrgluio  Ocncnl  dc  l>Mos  cn  h 
A|osu  dc  IMkciM  de  Dam  Irae  nipwb  U  aiwki  de  die  a  naoccr  la  cxiucacu  de  Im  ardna 
aulnmaiuadc*  de  dices  dc  carksrr  peesunil.  para  hacce  pmMe  el  ejection  de  to  dercthoi  de  anew. 
rKtrfkaodn  y  caacelante  b  un  regntro  de  cuntulu  puNici  >  gracuio  Ea  <1  Regions  Ccacval  fKd 
■menu  una  deaenpodo  de  kia  architvt  aaaMiuia  que  umra  la  obligation  legal  dc  imcnbr  Ac 
I  In.  ie  pucdc  avengwar  me  Inner  eumuha  al  Region*  dc  inforawodn  upon  ciatmw  dc  ka 
arthivus.  ulcs  cocno  tu  final idad.  estructura.  nleaodad  del  mpaiaNc  del  trdnu.  ahcaotn  cetwncs 
pfoout  peso  la  Agenda  no  dispone  dc  dahn  pccsunalrt  de  l«  nfevudon  La  pnnopal  mdonmnciOn  que 
laotea  la  Agenda  es  la  dnuccuim  de  la  ofrau  o  drprcWrsoa  del  mponsaMe  del  anhttu  ante  la  que  te 
ryrrvro  lot  detevhot  de  attest*.  rtstif*caoOn  y  eaecelaodn  fc»  el  rrspnmaMe  del  atthtso  el  que  dnpac 
de  Im  daum  y  el  que  puede  muAcartm  o  caaolalm.  o  bus  dac  acceso  al  afcctaii  sober  tut  datoa  La 
fuaesdm  de  la  Agenda  es  urfnraur  al  afettmi*  pnea  que  pueda  ejeccec  lot  derecSn  que  la  Ley  Orginn  la 
retooote  Pan  el  caso  de  qae  el  rctpswuMe  del  arshno  drtoirndi  la  scbcilud  del  alectado  etti  pretnao. 
Como  bum  tennenudo  aMenocmente.  el  Piovedirmenlo  de  Tatela  de  Dececho*. 
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rtcabar  infocmacidn  dc  an  daios  dc  stricter  personal  incluidos  y  traiados  en  kw 
archivo*  automatizados.  cn  inlervakn  no  infen  ore*  a  docc  mescs.  salvo  que  el 
nwresado  acredile  un  interns  Icgfnmo  El  acceso  podri  consisiir  en  la  mera  consults 
de  los  arc  In  so\  por  medio  de  la  visualizacidn.  o  cn  la  comunicacidn  de  los  datos 
pntinemes  por  cscrito.  copia  o  telcvopta.  certifkada  o  no  por  cl  responsable  del 
archivo.  La  informacidn  deberi  ser  legible  o  inteligible  cualquicra  que  sea  el  medio 
Wili/ado.  El  dcrecho  sc  cjerccri  mediante  solicitud  o  pcnckm  dingida  al  rcsponsaMc 
del  arc  hi  so.  formulada  mediante  cualquier  medio  que  garantice  la  ideatificaci6n  del 
afcctado  y  en  la  que  constc  el  archivo  o  arc  his  os  a  consultar.  El  responsable  del 
vetaso  resol  veri  la  petacidn  de  acceso  en  el  plazo  miumo  dc  un  mes  a  conur  desdc 
U  itcepcidn  de  la  solicitud  FJ  acceso  sc  puede  denegar  en  cl  caso  de  los  arctiivo*  de 
Kslandad  privada  tdlo  cuando  la  solicitud  sea  lies  ada  a  cabo  por  pervxia  distima  al 
afcctado  o  cuando  sc  pida  sin  acrcdilar  interns  legit i mo  en  un  niimero  de  veces 
sapenor  al  csuNcckJo  por  la  ley  para  un  plazo  de  liempo  dcterminado. 

En  el  caso  dc  los  arch  isos  de  titulandad  publica.  sc  puede  denegar  el  acceso 
cuando  se  irate  de  archisos  de  las  Fuerzas  y  Cuerpos  de  scguridid  para  fines 
poLc  sales.  que  contengan  datos  de  carictcr  personal,  cuando  el  ejervicc  del  dcrecho 
ic  acceso  pudiera  ser  una  amcnaza  contra  la  defensa  del  Estado.  la  segindad  POblica. 
la  protection  de  dercchos  y  libeoades  de  terceros.  o  Us  nccesidadc*  de  las  insestiga- 
owes  que  se  esten  rcalizando  por  parte  de  los  Cuerpos  y  Fuerzas  de  Scguridad.  En  el 
caso  dc  los  archisos  del  Ministeno  dc  Economfa  y  Hacienda  podri  den.-garse  cuando 
k  obstaculiccn  act uac tones  administratis  as  para  asegurar  cl  curnplinienio  dc  las 
oMigacaones  tnbulanas.  En  el  caso  de  las  Admimstractoncs  POblicas  podri  denegarse 
umbkn  por  razoocs  de  interns  general  o  intcrcscs  de  terceros  rrds  digno*  dc 
prctcccko  cuya  cxisicncia  deberi  lies  arse  a  cabo  mediante  resolution  motivada  del 
(rpino  admimstrativo  responsable  del  archivo.  El  afcctado  al  que  se  remegue  estos 
fcrcchos  podri  poncrlo  en  conocimiento  del  director  de  U  Agencia  de  Protcccidn  de 
Datos.  que  se  asegurari  de  la  procedencia  o  improccdencia  dc  la  deregaobn  lisle 
dcrecho  sdlo  podri  ser  ejereido  en  intervalos  superiorcs  a  doce  meses  salvo  que  el 
ifcctado  acredile  un  interns  legftimo.  en  cuyo  caso  podri  cjcrcitarsc  ante. 

La  informacidn  que  recibc  el  afcctado  comprenderi  los  datos  dc  base  del  nutmo  y 
In  resultantes  de  cualquicr  elaboration  o  proccso  informinco.  asi  coma  el  origen  de 
In  datos.  los  ccstofunos  de  los  mismos  y  la  cspecificaciOn  de  los  coacretcn  usos  y 
(•alidades  para  los  que  se  almaccnaron  los  datos.  factlitindose  U  irformaciOn  de 
aodo  perfectamcnte  comprensible. 

El  dcrecho  dc  rectlficacidn  y  cancclaeion,  regulado  en  el  ait.  15  d:  la  LORTAI) 
)  ill  IS  del  RD  1332/94  se  hasa  en  el  pnncipio  de  la  obligation  d:  mantener  U 
tuctitud  de  los  datos.  Es  la  facultad  o  capacidad  del  afcctado  dc  instar  il  responsable 
id  archivo  a  cumplir  la  oMigaciOn  de  mantener  la  exactitud  de  los  mismos. 
KtUkando  o  cancelando  los  datos  de  carictcr  personal  cuando  resulten  incompletos  e 
anactos  o  bien  scan  inadccuados  o  cxccsivov  en  su  caso.  En  dcfiiitiva.  es  una 
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llamad*  a  la  cxistcncia  y  uso  por  pane  del  responsible  de  mecamsroos  de  actuah- 
zacidn  de  los  archives  Su  finalidad  dc  evittr  dahos  y  pcrjuicios  a  los  afcctodos  por  U 
tcncncia  dc  dales  errdneos  o  inexactos. 

Cuando  los  dales  rcclincados  o  cancclados  hubicran  side  ccdidos  previamertc.el 
responsible  del  archivo  debcrl  notificar  la  rectificacido  y  cancclacidn  cfcctuadi  al 
ccsionario. 

El  dcrccho  debe  ejercerse  mcdianic  solicilud  o  petition  dirigida  al  responsible  del 
archivo  mcdianic  cualquicr  medio  que  garanlice  la  ideMifkaci6n  del  afectado  y  en  b 
que  coasten  los  dales  que  hay  que  cancclar  o  rtclitlcar  y  el  archivo  o  archives  donde 
se  cncuentmn.  hackndosc  efcctiva  la  recti  ftcackfl  por  el  responsible  del  archive 
dentro  dc  los  cinco  dias  sigukntcs  al  dc  la  reccpciOn  de  la  solicilud.  Si  cl  ticuUr 
considera  que  no  precede  acccder  a  lo  solicilado  se  lo  comunkari  mohvadamente  en 
cl  pla/o  dc  cinco  dias.  Si  iranscumdo  el  plazo  dc  cinco  dias  no  coniesta.  podri 
enicndcrsc  su  peticidn  dcscstimada.  La  dcncgacidn  de  la  rectificacidn  o  cancclackc 
opera  cn  los  casos  peevistos  en  los  arts.  15.5.  21  y  22  dc  la  LORTAD.  El  afectado  a I 
que  se  dentegue  esios  dcrechos  podri  ponerlo  cn  conocimiento  del  Director  de  I* 
Agenda  de  Proteecidn  de  Dalos,  que  sc  asegurari  de  la  proccdencia  o  improccden.il 
de  la  dcncgacido’'. 

A  mode  de  cjemplo  sc  adjunian  en  el  Anexo  I  un  grupo  de  fonnularios  utiles  pan 
el  cjercicio  dc  los  citades  dcrechos  y  que  serin  convvniente  que  el  rcsponsable  del 
archivo  pudicra  facilitar  al  intcrcsado  con  la  finalidad  dc  garannear  la  cfcctividad  del 
ejerckio  de  los  correspondientes  dcrechos. 


d)  Tutela  de  los  dcrechos 

La  LORTAD  prevd  mccanismos  dc  lutcla  dc  loa  dcrechos  dc  los  afeclados  que. 
como  hemos  visao.  pueden  comporur  sancioncs  o  indemm/ac tones  cuantiosas  para 
aquel  que  haya  desatendido  los  rcseAados  dcrechos.  A  modo  de  u’ntesis  recordcrnot 
las  vias  dc  las  que  go/a  cl  particular  para  haccr  valcr  sus  dcrechos: 


!i  En  «l  c*so  unto  dr  kn  anfcitot  pnsados  corns  dc  k»  archivo*  puNvoi  esiuc  un  dtbet  it 
ccmtcrvacste  de  lot  daaoi  para  el  pUzo  que  se  etlablrac*  en  cada  cato  por  U  k (lilac kn  aphtaKe  j,  a 
lodn  cato.  nmb  %u  c*nc*lacs6a  pud*te  causa#  pcrjuxvo  al  afrctnlo  o  a  imerot  F.ti*  dipmsia  a 
cwnon  a  ambus  tips  de  archivo*  Eanien  unas  cscepciones  cspcofic**  presutas  par*  los  mtnn 
pOMacus  que  pctlrUi  dtntgar.  adrmks.  en  coos  casus  como  el  de  lot  arclusut  de  Us  Fomas  y  Cucipot  it 
Sejundad  par*  fmts  polkukt  que  coownfan  dacut  de  caricsrr  pcrvasal.  cuando  su  rymvio  ptdirra  id 
uni  mnui  cocer*  U  Jrfrnsi  del  Esudo.  U  Sc(und*d  FMWica,  U  prcnecck*  de  dncchm  y  Uhcrtado  tk 
lercecot  o  Us  necetidades  de  Us  unesaipacKoes  qne  k  es«n  re*liucd»  pot  pane  dc  to*  Coopo*  y 
Furnas  dc  Srpaiiad 
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A)  Rcclamactdn  en  via  adminixtraliva:  Proccdimienio  de  tutela  de  dcrechox. 
Proccdimienio  xanoonador.  Suponc  la  txivqucda  del  rc.xpcto  efcctivo  de  k*s 
derechos  reconocido*  poe  la  LORTAD  y.  en  caxo  de  «jc  no  sc  produ/ca.  la 
xancidn  de  la*  conducts  irrexpctuoxax  con  k»  aimor . 

B)  Recurxox  ante  lox  Tribunals:  Recurxo  contencioxo-adminixtrativo  contra  lax 
rcxolucioncx  del  Director  de  la  Agenda.  Una  xe/  ftnaltudo  el  procediraiento 
admiimtraiivo  ante  la  Agcncia  de  Protcccidn  de  Datox  y  rccafda  rexoluctdn 
del  Director  de  la  Agcncia  queda  expedita  la  via  contencioxo-adminixtratixa. 

C)  Dtrecho  de  indemm/aetdn:  Como  hcnxn  comcntado  antenormente.  la 
LORTAD  abre  dcfinitivamcntc  la  pueita  al  derccho  de  indemni/acidn.  Ad. 
lax  lesione*  que  cl  incumplimicnto  de  lox  precept  ox  de  esla  Ley  Orginica 
poedan  producir  al  afectado  cn  vux  biencx  o  dcrechox  generan  derccho  de 
indcmni/acidn.  bien  de  acucrdo  con  el  proccdimienio  cxtablccido  de 
mprmiabiUdad  de  lax  Admimxtracioncx  Publicav.  cn  el  cam  de  lot  archivox 
de  titulandad  publica.  o  bien  ante  lot  Tribunalex  ordinance  para  lox  archixox 
de  htularidad  privada. 

I  j  funcKVi  del  auditor  ex  prcciwamrntc  emitir  un  diagndstko  juridico  del  xujeto 
■dsudo  con  la  finaluiad  de  que  txle  adopte  lax  medidax  corrcclorax  oportunax  y.  con 
do.  exile  que  el  afectado  deba  acudir  a  lox  citadox  proccdimicntox.  concluwlox 
tcraalmeMe  coo  imponantex  xancionex. 


21.6.  CONCLUSIONES 


Cada  vc/  mix  lo  contcnido  deniro  de  lox  computadorcx  ex  el  "activo  real"  de  lax 
opexax  y  Administracionex  POhlicux  Pcro  la  mcorporactfn  de  la  informitica  en  el 
law  cotidiano  de  lax  mixmax  aAade  una  nueva  dimcnxidn  a  controlar.  A  pexar  dc  lax 
ntablcx  ventax  que  <xta  com  porta,  xu  uvo  lambita  coni  leva  noublex  pcligrox  que 
fcben  vxnetcrxe  a  examen  de  no  querer  traducirxe  en  elexadox  coxicx  perxonalex  y 
tceofokox  conxecuencia  dc  un  estneto  rtgimcn  xancionador.  Con  cxla  finalidad  nacc 
kmditoria  juridica  denuo  de  la  auditoria  informitica. 


Con  clla  xe  pretende  poncr  de  manifiexto  lax  irrcgularidadex  exixtcnicx  para  podcr 
cmcgirlax  y  actuar  e.i  nunc  del  modo  Icgaltnenic  indicado.  La  auditoria  a  la  que  xe 
•Sere  exte  capftulo  ex  un  prueexo  contiolado  cn  todo  momento  por  el  xujeto  auditado 


a  Ln  xuKioon  oxcilan  calrt  lax  1 00  000  pcaetsx  minimo  previviu  fait  In  intrarvioaet  W vex.  >  lax 
■  OCX)  OCO  dr  pevetav.  cMunu  prrvitlo  pin  lav  iiw>  fravex  Como  c/rneto  de  Un  pnmenn  eAilrm 
In  pfwcdrr  •  U  rerti<icacMVn  o  caacelacrfa  dr  emeex  o  nomndn  <.  no  cmplir  lav  InamccMM* 
MtWrxxor  dr  la  Afncu  dr  PWkcWi  de  Oaim  m  (aolKar  mfornuodn  Or  lax  w|udi>.  rrcordamot 
mo  r/mplo  U  revropda  de  date*  dr  hem*  tnyxdoxi  y  frauduknla  o  U  rex* 6a  dr  datox  lurra  dr  lov 

L. 
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que  cn  quicn.  cn  ultimo  t<rmino.  decide  si  desej  apt  tear  las  medietas  de  adapucido  a  la 
legal  idad  que  indicant  el  audiloi. 

l-i  audiloria  no  es  un  pnxedimicnto  sancionador  sino  un  prtxedimicnto  corrector 
que  pretende  evilar.  prccivamenlc.  sanciones  impucstas  por  pone  de  (Vjanot 
admmi  strati  vos  y  penales  o  indcmni?acioncs  en  el  orden  civil. 

E»  una  busqoeda  de  mejora  de  la  calidad  del  tratamiento  infocmitico  a  trails  dd  j 
conscyo  independieme  que  los  auditorc*  ofrecen.  Kilo  un  impooer  en  ningOn  momenta 
dec  ivioncs  sino  ayudando  a  tonurla*  corrccumcntc 

Cada  dia  son  mis  los  que  Man  cnicndido  esta  funcidn  del  auditor  juridko  y 
someten  su  estructura  inforinidca  a  examen  con  la  intcncidn  de  adaptor  el 
informilico  a  los  mirgcocs  de  la  legalidad.  Y  ello  no  tan  sdlo  como  medida  presentm 
de  codes  ccondmicos  sino  tambi^n  como  frulo  de  una  incipiente  concicnciacita  social 
que  propugna  el  respeto  de  los  Dcrccbos  llumanos  de  Tea-era  Gencractdn 


21.7.  LECTURAS  RECOMENDADAS 

Davara  Rodrigue?,  Miguel  Angel.  Perecko  in/ormdlico.  Aranzadi  Pamplona,  1993. 

Peso  Navarro.  Emilio  del  y  Ramos  Gon/ale/.  Miguel  Angel.  Confidtncialidai  y 
seguridad  de  la  m/onnat itin:  La  !X)RTAP  y  fus  mphcactonei  weioecondmcoi. 
Ediciones  Dia?  de  Santos.  Madrid.  1994. 

21.8.  CUESTIONES  DE  REPASO 

1 .  ,.Cuil  cs  la  uiiltdod  de  la  audiloria  junidica  de  entornos  informiticos? 

2.  <.Qud  ireas  comprendc  la  audiloria  juridtea? 

3.  iQui  se  entiende  por  audiloria  de  objetivos? 

4.  ,',Qof  debe  venficar  el  auditor  en  nuicru  de  origen  de  la  titulandad  de  lot 
programs? 

5.  iQot  aspectos  aharca  la  audiloria  juridica  de  Us  personas? 

6.  ,C6mo  pueden  utili/arse  los  requisites  recogidos  cn  el  articulo  4  de  la 
LORTAD  a  U  hota  de  llevar  a  cabo  U  audiloria  de  la  informacidn? 
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7.  iQui  archival  qucdan  excluidoi  dc  la  aplicaciOn  de  la  LORTAD? 

8.  i.Dc  qu<  grade*  dc  pcoceccidn  5C  poede  tuhlar  en  rclacidn  con  los  daioi 
cowcmdoi  en  archives  somctidoi  a  la  Ley? 

9.  iCuilo  too  lat  obhganonci  del  mponsablc  del  iraiamiento  auiomati/ado 
de  daios? 

10.  iQut  IcgiilaoOn  conoce  vobre  dcrcchos  de  auto*  qoc  afccle  al  software? 
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AUDITORfA  INFORMATICA 
EN  EL  SECTOR  BANCARIO 


Pilar  Amador  Contra 

22.1.  CARACTERlSTICAS  GENERALES  DE  LA  AUDITORIA 
INFORMATICA  EN  LAS  ENTIOADES  FINANCIERAS 

22.1.1.  Necesidad  y  beneficios  de  la  audltoria  informatica  en 
la  banca 

lj  creaciiSn  dc  la  funcidn  de  la  audltoria  informilka  en  las  arganizacioncs 
kronas  es  relativamentc  rcckntc.  hast  a  cl  punto  dc  quc  ailn  actual  me  Me  en  algunas 
ratidadcs  financiers  sc  encucntra  cn  proceso  dc  definkida  o  roasolidacda. 

Sin  embargo.  su  cxistcncia  aporta  innumcrables  ventajas  a  las  cntidadcs  quc 
dnpoocn  dc  clla.  ventajas  quc.  si  bkn  cn  ocasioncs  muestran  ekmento*  dc 
omcidencia  con  las  habidas  en  cualqukr  sector  cmproanal.  cn  ottos  cases  son 
opcdficansemc  props  as  y  denvadas  de  las  caracteristkas  particularcs  del  ncgocio 
fcocario. 

El  valor  aftadido  quc  represenu  para  una  entidad  fmanckra  la  exist encia  cn  su 
erganizacidn  dc  una  funcidn  dc  audltoria  infocmitica  pknamente  oprrativo  aharca 
demos  aspcctos. 

Una  dc  las  larcas  cllskas  cn  cualqukr  actividad  auditora  cs  la  relaaonada  con  las 
kackmes  dc  control,  por  cuanto  csti  dentro  dc  su  imbito  dc  actuacifa  sen fi car  la 
exoieecsa  de  proccdinucntos  y  mecamsmos  de  control  suftcicntcs  y  adccuados  quc. 
eperado  principalmcntc  a  nisei  preventivo  y  detector,  permian  asegurar 


www.FreeLibros.me 

I  AUXTOKlA  infokmApca  ux  ExroQt,1*  pkActku _ 


ra/onabkmcntc  cl  funcionamiento  corrcclo  «Je  k»  sistemas  inlbrmiticov.  y  to  que  a 
mis.  evaluar  U  implicacidn  de  la  inexistcncu.  la  insuficicncia  o  la  no  adeaianfe  4c 
dichos  proeedimienlos  En  ultimo  cxtrcmo.  c*  la  boodad  de  as  incdulas  dc  consul 
impl  antadas  la  que  penrulirf  al  auditor  en  particular.  >  a  la  cnudad  cn  mi  conjatfo  <a 
general,  dctcrminar  el  grade  de  confianza  a  depositor  cn  el  sistena  informltico 

A  ede  respccto.  la  faceu  en  la  que  la  participacidn  de  audtorfa  mformitiea  re  d 
sector  financiero  es  mis  valiosa  la  constituye,  qui/iv  la  reviudn  dc  las  aplicaciooa 
informilicas.  con  el  objeto  de  asegumr  que  cl  las  cumplen  con  b»  criterios  fuecteoale* 
y  operatives  definidos  por  la  cnudad  fmancicra  Esta  actividid.  que  forma  pane  dd 
imbilo  de  actuacirin  habitual  de  la  audilorfa  informitica  en  lodes  lev  banc  os  que  tienen 
come  tal  implant  ada  la  funetdn.  es  dc  extrema  imporuncia  por  :uanto  comtlnmentc  u 
error  cn  la  intcrprctacidn  de  un  enteno.  una  especificaodn  inccmplcu.  una  deficieaha 
en  un  algoritmo.  suelcn  tener  un  impact o  clevado.  bien  por  el  uimero  de  operacteoe* 
que  resu  lien  afcctadas.  bten  por  la  rcpercusido  ccoodmica  del  eiror. 

Y  no  sdlo  dsos  poeden  scr  los  efcctos  de  una  mala  dcfini.'idn  o  implantacita  de 
las  cspeci ficacaooes  de  discAo.  Aun  cuando  es  general  cl  coruxpto  de  que  los  barcot 
coniribuycn  a  la  actividad  econdmica  de  un  pals  como  empresas  de  scrvicios  ea  d 
me  re  ado  financiero.  no  es  tan  comiin  considerarios  como  entidtdes  sunumstradcras  de 
servkios  de  mformacido.  si  bien  una  important c  canudad  dc  sui  rccursos  c  inversooes 
a  esta  actividad.  Los  sistemas  de  mformacido  de  banc  os  y  entidades  fmanaeni 
tienen.  entre  ws  caracterfsticas  pamculares.  la  de  constituir  fuente  dc  dales  pan 
multiples  agentes  extemos.  El  ncgocio  hancario  sc  caracteriza  porque  sus  procesos, 
aun  cuando  no  son  excesisaraer.tc  complejos  si  se  comp. ran  con  los  de  Mas 
actividades  emprcsanales.  estin  todos  dlos  rmiy  intcrrclaciomdos.  lanto  dentro  de  b 
propia  organi/aciOn  financiera  como  a  nisei  exteroo.  Como  ccnsecuencia  los  efcctor 
de  los  poubles  crrorcs  poeden  tener  rcpcrcusioncs  directas  o  indircctas  en  multi plct 
nivcles.  en  un  abanico  de  posibilidades  que  van  desde  cl  imbeo  intemo  cn  exclusive 
hasta.  cn  cl  peor  de  los  casos.  afectar  a  la  informacidn  proporcionada  a  lerccrot, 
principal  mente.  organismos  pdMicos  y.  sober  todo.  clicnicv 

A  cste  rcspecto.  es  mdudable  la  imporuncia  actual  que  sc  e  concede  al  cliente  ea 
cl  sector  bancario.  por  cuanto  la  clientela  es.  a  la  ve/.  origen  y  destine  de  la  propia 
actividad  banc  ana.  Y  desgraciadamcntc.  es  inncgablc  tunbkn  que  entre  lot 
principals  afcctados  por  los  crrorcs  en  los  sistemas  informilKos  de  los  banc  os  ic 
cncuentran.  cn  ocasioncs.  los  clientev  No  es  el  objeto  Iritar  aquf  los  aspeetot 
asociados  a  las  implicaciooes  que  para  un  cliente  puede  tener  in  error,  ni  tampoco  las 
que  directamente  o  indirectamentc.  derivadas  de  las  anlcrtores.  puede  tener  para  ca 
banco,  pero  es  claro  que  todos  los  crrorcs  tienen  un  code,  no  siempre  toulmeme 
cuantificaMc.  De  ahf  la  imporiancia  dc  la  auditorfa  infomilica  en  cuanto  que 
garann radon  del  correct o  funcionamiento  dc  los  sistenus.  no  sdlo  desde  la 
perspcctiva  de  la  geslidn  de  la  propia  empresa.  si  no  umbiln  desde  la  dptica  dc  les 
clientes. 
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Uno  dc  los  valores  quo  de  forma  colatcral.  y  dcbtdo  al  imbito  cn  cl  quc  acttia. 
aportar  U  auditoriu  informitka  cn  Us  enudadcs  financier**  es  U  deteccibn  de 
fBKtsos  obsoictos.  indicates  o  rcdundantes.  quc  no  aAaden  valor  a  b  aclivtdad  de 
K{ocio  y.  sin  embargo,  d  suponen  un  cosle  Ei»  el  Iranscurso  de  *u  trakajo.  cl  auditor 
nformkico  ticnc  la  oportumdad  de  analirar  los  circuital  de  informacida.  los  proecsos 
opmcisos  rclacionados  con  los  productive  y  tratamicntos  informiticos.  la  boo  dad  y/o 
afauacidn  de  los  mixmoi  en  rclacibo  coo  el  objetivo  tcdncamcntc  perseguido.  y  en 
dtfiniuva.  proponer  acetones  de  mejora  quc.  sin  mcnoscabo  dc  la  caltdad  real  dc  los 
pKoew.  redunden  en  un  mejor  aprovcchanucMo  de  los  recursos 

Con  todo.  la  conctcnciacidn  y  el  rcconocimiento  de  la  importancia  de  la  audiloria 
nfcrmdisca  ha  venido  de  U  mano  dc  la  entrada  en  vigor  de  la  LORCA!)  y  dc  las 
bttrucooocs  de  la  Agencia  de  Proteccidn  de  Datox.  cn  particular  la  q«c  cstablccc  la 
(MigMoriedad  de  realirar  una  audiloria  informilica  periodica  de  las  mcdxlas  de 
njundad  con  quc  curntan  Us  mstalaciooes  quc  proccsan  datos  personales  y 
pan  modules 


22.1.2.  Tipologia  de  las  actividades  a  auditar 

No  anali/arcmoi  aquf  toda  U  casufstica  de  posiMcs  actiwdadc*  a  auditar  en 
Hurlbs  ireas  que  son  comunes  a  cualquier  otra  actividad  cntproartal  (auditorial  de 
•tgwidad  Idgica.  seguridad  flsica.  etc.)  y.  por  tanto.  no  presentan  particularidades 
opcnales  en  el  sector  hancario. 

En  xu  lugar.  nos  centraremos  en  las  actividades  dc  auditoria  en  el  marco  de 
pocesos  v  funciones  en  las  quc  cxiuen  caracteristicas  de  especial  inter**  cn  el  caso  dc 
■a  rntidad  financiera. 

Oiuinguircmos  en  primer  lugar.  por  su  importancia  en  cl  conjuno  dc  proecsos 
irfomAticox  de  un  banco,  asf  como  por  las  impltcaooocs  dc  cualquier  posiblc  error, 
hr  aoditortos  de  aphcacionet  informdticas  que  iratan  y  soponan  produrlos  banco  rios 
<fkos  planes  y  fondox  de  pcnsioocs.  fondos  de  inversibn.  cuentas  tocricnlc*.  de 
tbtrro.  de  plaro  y  demis  productos  del  pasivo  traditional,  insersidn  crcditicia 
labttos.  poS tamos,  descucnto  dc  cfectos).  etc.  De  las  auditorias  dr  estc  tipo  sc 
bbUri  en  mi*  dculic  con  postcrioridad. 

Ettas  apticaciones  ticncn  bisicamentc  las  siguientes  caracteristicas: 

-  Proccsan  y  gcncran  un  gran  volumcn  de  datos  rtlativox  t  contratox  y 
operaciooes. 

-  Los  proecsos  de  tratamienco  de  los  datos  son  relativamenie  tencillox  (aun 
cuando  cn  algdn  caso  puedan  rcsultar  cooceptualmrmc  conplejos).  sin 
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embargo .  comparativ  amcnte  suponen  un  gran  comumo  tic  recurves  en  el  total  . 
de  los  proccsos  informibcos  dc  un  banco. 

-  Las  operaciones  y  products  tratados  por  estas  aplicaciones  tierea 
nomulmcntc  un  importance  peso  cspccifioo  en  el  balance  dc  la  entidad. 

-  I  j  dispombtlidad  de  la  informacidn  suelc  ser  un  factor  crtoco 

-  la  informacidn  generada  nene  un  e  lev  ado  alcance.  por  cuamo  se  emit 
masivamenle  hacia  dcstinos  externos  a  la  propta  entidad  financicra. 

-  I  in  estas  aplicarioncs  ve  produce  un  efecio  amplificado  del  error  cualquw 
incidcncia  poede  afectar  a  un  mimero  e lev  ado  de  operaciones  y  icner  utu 
rcpcrcusidn  ccondmica  cifrada  en  millones  de  pesetas 

Fn  tegundo  lugar  podemo*  distinguir  las  auditorial  de  medioi  de  pago.  luyem 
de  ddbito  y  crddito.  iransferencias  dc  fondos.  cheques  personales.  cheques  de  viije. 
etc. 


Hntre  las  particulahdade*  de  cstos  sistemas  dcstacan: 

-  Alto  volumen  de  transacciones  y  dc  clicntes. 

-  Exixlencta  dc  regulacioocs  espeeffkas  para  su  traumiento  infocmilico  y 
operati vo.  consccuencia  de  los  convenios  suscritos  con  dtstintos  organismos. 

-  Son  Areas  en  las  que  lot  aspectos  de  control  ticncn  gran  relevandx 
principal  menu  en  materia  dc  pccvcnckio  dc  fraudes.  asf  como  en  d 
CumplimieMO  dc  diversas  normas  emitidas  por  el  Banco  de  EspaAa. 

Otro  de  los  Ambtlos  de  actuacidn  lo  constituycn  las  auditorial  informdticai  de 
actividadei  y  product  os  de  teutreria:  mercados  de  activos  financtcros.  y  de  opcionct  y 
futures,  phncipalmentc. 


Dcstacan  por  que: 

-  Son  Areas  tnuy  tdcnicas  y  especial izadas  desde  el  punto  de  vista  hancario. 

-  El  ndmero  de  transacciooes  (operaciones)  no  es  muy  elevado  pero  sus 
impoctes  si  son  muy  significatisos. 


-  Las  sal idxs  de  informacidn  hacia  dientes  son  escasas  (sobre  lodo  si  sc  las 
compara  con  las  habitlas  en  las  aplicacioncs  de  product ov  bancarios  tipicos)  o 


www.FreeLibros.me 

_ CArtmx)?;  AuxtoiiUivFoiutATic.A pin, sector bancaiuo  sis 

Son  sistcmas  cn  l<w  que  una  deficicnt'ia  en  los  procesos  y/o  cn  los 
proccdimiento*  de  control  punk  provocar  un  qucbranto  ccondmico  <fc 
considerable  magnitud. 


Como  colofdn.  selUlarcmos  lac  auditoriat  rrtacionadas  con  la  tnformaci6n.  cn 
las  viguicntcs  facctas: 


-  Auditorias  dc  calidad  de  U  informaodn,  cn  cuanto  quc  verificacidn  dc  la 
cxistencia  dc  procedimientos  quc  garanticcn  su  exactitud.  fiabilidad. 
oponumdad  y  utilidad.  mcdtansc  cl  anilisis  dc  los  mccanixmox  utilizados  pan 
Mt  distnbucidn.  cl  intcrcambto  dc  infocmacido  cntrc  difcrcntcs  dcporumentos 
dc  la  cntidad.  cl  circuito  quc  Mgucn  los  datcn  <ksde  mi  crcacido  y  Us 
subsiguicnics  transformaciones  (ugregaciones.  cUsiftcacionet)  quc 
cxpcrimcnun  hatu  constituir  cl  “producto"  final. 

-  Auditorial  dc  la  proteccido  dc  los  datos  personate*.  Fntrc  clla*.  dcstacaremov 

•  AuditorU  dc  las  mcdidas  dc  seguridad  dc  los  archives  relatives  al 
curnplinucmo  o  incumplimicnto  dc  Us  obligaciooes  dinerahas  dc  Us 
personas  flsicas.  de  oMiguda  realiracidn  a  interval  os  no  mayorcs  dc  dos 
ados,  scgiin  csublccc  la  Instruccidn  1/1995  dc  U  Agcncia  de  Protcccidn  de 
Datos. 


•  Auditoria  dc  las  mcdidas  dc  proccccidn  de  la  inform  acido  dc  car 4c ter 
personal  y  patrimonial  que.  aun  cuando  no  se  pueda  considerar  amparada 
dcnlro  de  la  Instmccidn  mcncionada.  sf  esti  regulada  por  la  I.ORTAD. 

Auditoria  de  los  planes  dc  recupcracibn  de  ncgocio  o  planes  de  coelingencia 
Bs  un  4rca  de  especial  impottancia  en  la  actividad  auditora  por  cuanto 
actual  mente  Us  potibilidades  dc  uipervivcncia  de  una  cntidad  financiers  cn 
caso  de  un  desastre  cn  cualquicra  dc  sus  centres  de  proceso  de  datos  ikpcodcn 
dircctamcntc  de  U  cxistencia  de  un  plan  dc  rccupcracidn  dc  la  actividad. 


Por  dltimo.  seftalar  quc  la  transformaado  quc  esti  expenmentando  cl  sector 
twncario  cn  los  dltimos  ados  y.  en  particular,  la  instauracidn  dc  nuevos  ouiales  dc 
Afussdo  (banc a  tclcfdmca.  banca  virtual),  amplfan  cl  imbilo  de  la  funcidn  auditora 
ids  alii  dc  Us  larcas  tradiciooalcs  y.  al  mismo  tiempo.  cxigen  del  auditor  una 
pennanenlc  capacidad  dc  aprenduaje  para  abordar  con  dxito  los  nuevos  ret  os. 
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22.1.3.  Objetivos  de  la  auditoria  y  preparation  dal  plan  de 
trabajo 

El  alcancc  y  cl  imbito  con  cl  quc  sc  abordc  la  auditoria  informitica  dc  mi 
actividad  especifica  es  'an able  y  dcpcndicntc  dc  varies  factored,  entre  otros: 

-  Los  objetivos  quc  sc  pcrsigan  con  cl  trabajo  y  las  razonc*  quc  hay  an  motivate 
vu  rcalizacidn.  Probablcmcntc.  cl  contenido  del  plan  dc  trabajo  dificra  cn  uru 
auditoria  dc  revision  general  dc  un  sistema  dc  aquella  otra  cn  la  que  te  f 
pretende  determinar  cl  origen  c  apticacioncs  dc  algunas  incident  ms  dctectadu 
cn  una  actividad  concrcta 

•  Los  recurso*  dc  quc  sc  disponga  para  abordar  la  auditoria. 

-  El  nisei  dc  documentacidn  del  sistema  a  auditar.  pucsto  quc  su  inexittcncia  o 
insufkicncia  puede  conducir  cn  la  prictica  a  quc  aqull  no  sea  auditable. 


Como  caractcristicas  particulates  a  »  ncr  cn  cucMa  cn  la  prcparacidn  del  plan  de 
trabajo  dc  la  auditoria.  sc  dcxtacan  las  siguientes: 


La  consenicncia  dc  quc  cl  auditor  conozca  con  cl  sufickntc  dctallc  lot 
poxedirmentov  operative*  intemos  de  la  entidad  financier.!  relacionados  coo 
cl  irca  dc  ncgocio  y/o  cl  producto  bancano  soportado  por  la  aplicacxta.  El 
auditor,  aun  cuando  cl  irnbito  dc  su  trabajo  sc  circunscnba  al  sistema 
informitico.  debiera  conoccr  levs  circuit  os  operatives  y  administrative* 
seguido*  y  asociados  con  los  dates,  desdc  su  caprura  hasta  la  obtcncidn  de  ta 
subproductos  finales  dens  ados  de  cllos.  Elio  le  permitiri  evaluar  cl  impxto 
de  las  dcbilidadcs  y  cnorcs  que  poesb  detector  cn  cl  fundonanuento  dd 
sistema.  c  incluso.  poocr  de  mam  fiesta  situaciones  cn  las  que  no  exist*  la 
sufic  cent  c  concordancia  entre  cl  sistema  informitico  y  cl  proccdunicnto 
operative. 

La  ncccsidad  dc  contar  con  cspecificac tones  funcionales  documcntadas  de  la 
actividad  a  auditar.  asi  como  disponcr  del  suficicntc  conocimicnto  dc  la 
operativa  bant  ana  traditional  avociada  con  el  producto  cn  cue  slide  Ei 
mnegablc  quc  un  auditor  informitico  quc  trabajc  para  una  entidad  financier!, 
ademis  dc  auditar  c  informitico.  deberi  ter  bancano 

Como  paso  previo  a  la  c labor aciOo  del  plan  dc  trabajo.  cs  extremadamente  util 
La  rccopilacidn  dc  toda  la  normativa  y  documentation  que  pueda  cxistir 
rclaciooada  con  cl  objeta  de  la  auditoria. 


En  particular,  cn  cl  caso  dc  las  apl  icacioocs  bane  anas  tfpicas  cn  cl  sector 
bancano.  sc  dcstacan  como  rcfcrcncias  dc  consulta  las  diversas  circulares  e 
instruct  tones  cmitidas  por  el  Banco  de  Espafta.  la  Asociacidn  EspaAola  dc  la  Banca 
Privada  ( AHB>.  la  Confederation  EspaAota  dc  Cajas  dc  Ahocro  (CECAl.  etc. 
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En  occtas  dreas  cspecfftcas,  cxistcn  otras  fucntcs  de  informacidn  quc  pocdcn  ser 
lambidn  de  inler<S  para  el  auditor,  entre  las  quc  citamos  a  utulo  de  cjemplo: 

-  Convenios  (irmados  por  U  entidad  financier*  coo  organismot  de  las 
administraciones  central  o  autondmica*  para  la  firunciacidn  de  ciertas 
actividades  cmpresarialex  (pr&Umos). 

-  Convenios  relaciooados  con  los  sistemas  de  truncamiento  de  cheques  y 
pagans,  cfectos.  etc. 

-  Normas  regulation?*  del  Mercado  de  Anoucioncs  en  Cucnta  (vakxes.  act  isos 
fmancteros).  del  Scrvicio  telefdnico  del  Mercado  dc  Dinero.  etc. 

En  actios  tralmjos  cspecificos.  el  auditor  puede  necesitar  teocr  un  cooocimicnto 
general  de  la  legislacidn  vigente  asi  como  las  Directives  Comunitunas  A  modo  de 
ejempkv.  <ste  el  caso  de  la  normativa  sobre  prcvencidn  del  blanquco  dc  capitalcs. 
fropiednd  intelectual.  protcco6n  dc  daios  personates.. 

-  Ante  situaciono  que  requieran  unos  conociinicntos  porticularmentc  t&nicos 
en  aspect  os  bancarios  o  legale*.  cl  auditor  debe  actuar  siempre  plantcando  su 
conxulta  a  los  departamentos  competentes.  F.sto  cs  unto  min  ncccsano  cuanto 
mencN  documcntadas  sc  encucnircn  las  e specific aciooes  funciooales  del 
sistema.  o  cuando  cl  auditor  no  cslC  seguro  dc  quc  aqucllas  han  skJo  dictadav 
por  los  drganos  funcionalmcnte  respoosables  de  ello.  A  evte  rcspccto,  y  como 
premisa  bisica.  el  auditor  informitico  no  debcrla  en  ningiin  caso  asumir  dc 
antenuno  como  vilidas  las  funcionalidades  implantadav  en  los  sistemas 
informiiticos  sin  contrastar  previamentc  su  bondad  con  las  fucntcs  dc 
documcntacidn  y  cstamentos  quc  cocrespondan. 


22.2.  AUDITORIA  INFORMATICA  OE  UNA  APLICAClbN 
BANCARIA  TIPICA 

F.stc  apartado  cstii  dedicado  a  la  actividad  auditora  cn  un  Area  quc. 
eadiciorulmcntc.  ha  si  do  cl  objeto  principal  de  la  auditorfa  informitica  en  el  sector 
fhanctcro  y.  que  atln  hoy.  ccmtimia  siendo  su  mayor  consumidora  dc  rccunos. 

No  es  el  objetivo  dc  cstc  apartado  el  exporter  dculladamcnte  los  procedimientos  y 
frogramas  dc  trabajo  de  la  auditorfa  sic  las  aplicacioncs  in form.it teas,  por  cl  contrario. 
te  pretende  mostrar  algunas  dc  las  particularidadcs  sic  las  citadas  auditorfas  cuando 
feus  benen  como  marco  cl  sector  financicro.  bien  porque  cl  elemento  auditado  sea  cn 
d  misnto  espccifico  del  citado  sector,  bicn  porque.  aun  no  silndolo.  cxistan 
tensidcraciones  cspecialcs  quc  el  auditor  debc  tener  en  cucnta. 
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Kfuilu  impoxiblc.  en  un  libro  de  carictcr  general  como  fvtc.  comenur  cm  d 
xuficientc  dctcnimicnto  lox  puntos  de  control  que  el  auditor  deberia  revixar  en  d 
iinbito  fijado  para  cl  trabayo  En  mi  lugar.  %e  ha  cooudcrado  que  podria  ier  rail 
interevante  para  el  lector  conocer  algunox  aspestox  pricticox  de  cstc  tipo  de  auditorial, 
de  mancra  que  cualquier  auditor  con  expericncia  en  otrox  xectorex  cmprexarialei 
pueda.  aplicando  mis  conocimicniox  y  cxpcricncia.  inkiane  cn  la  auditoria  informilica 
banc  ana. 

22.2.1.  Criterios  para  la  planificaci6n  anual  de  los  trabajos 

la  realization  de  la  p  Unification  anual  de  la  auditoria  informilica  requicrc.  como 
puw>  previo.  un  conocimicnto  general  del  extado  de  lox  xisiemax  de  information  coo 
que  cuenta  la  entidad.  ad  como  de  lot  objetivo*  extraldgicox  fijados  por  lot  rirganot  dr 
deeixidn.  IVntro  del  imbito  de  lax  aplicacionex  informitKax,  en  particular  a  la  bora  de 
proponer  lax  tareax  del  plan  de  trabajo  para  el  prdximo  perfodo.  el  rexponxabie  del 
uuditoria  informilica  por  lo  comdn  claxificari  lax  poxiblex  aclividadex  en  funcidn  de 
dixerxax  pautax 

(in  primer  lugar.  extin  lox  fact  ores  clixicov.  generalmente  uiilizadox  en  la 
planificaodn  de  auditorial  dc  aplicaoonex  en  cualquier  xector  emprexarial  y  cm  re  lox 
que  podemox  dextacar: 

-  Antiguedad  de  la  aplicacidn.  aun  cuando  cite  daco  ticnc  una  doble  valoracida. 
ya  que  cuanto  mix  antigua  sea  ma yores  problcmax  de  obsotcxcencia. 
prexentarii  probablememc  con  proeexox  poco  eficicntcx  o  redundamex. 
cxpccilkacioncs  ftmcxonalex  no  cubiettax.  etc.;  pero  al  mixmo  t tempo,  xeri 
prexumiblemente  mix  liable,  en  cuanlo  a  la  calidad  dc  la  informacido 
proeexada  y  genemda.  puexto  que  el  xistema  informiiKO  extari  tambkn  mix 
probado. 

Ilonu  dc  manicninuento  invcitidax  anualmentc.  exiableciendo  uni 
comparativa  entre  aAox.  axi  como  con  lax  rexiantex  aplicacionex 

-  Factorcx  cualitatixos  asociadox  a  la  poxiblc  obxolexccncia  (no  xicmprc  ligada  a 
la  antigticdad)  dc  la  aplicacidn.  que  cl  auditor  podri  determmar  analizando  a 
aspect  ox  como  la  forma  y  lugar  cn  que  x«  capturan  los  dales,  la  dimcnudn  de 
lox  traumtcMox  manualex.  la  lipologia  dc  algunos  dc  lox  controlex  que  te 
real i /an,  la  auxencia  de  datos  bixicos  en  rclacidn  con  el  producto  o  irea 
cubicru  por  la  aplicacidn.  el  volumcn  de  recunox  que  requiere  xu  adaptation 
al  EURO  y/o  al  ado  2000.  y.  cn  general,  aquellax  carad  eristic  ax  que  a  cnlcno 
del  auditor  xe  -conxidcrcn  smtomiticax  de  poxible  obxolexccncia-. 

Pero.  ademix.  podemox  dixtinguir  un  conjunto  dc  axpcctox  tipicamentc  boncanox 
a  conxiderar  cn  la  plamficacidn  de  la  revixidn  dc  aplicacionex: 
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-  Importance  economic*  dc  la  funcidn  a  la  que  se  dcdica  la  apltcackto.  esto  cs. 
su  impacto  en  cl  balance  del  banco. 

-  Importance  lie  la  actividad  banc  ana  a  que  da  toportc  la  aplicacton  cn  Ins 
planes  de  ncgocio  y  expansion  dc  la  entidad. 

-  La  obtenci6n  de  informacton  a  paitir  de  la  aplkacidn  con  destino  a  etiemes  y 
organismo*  publicos  (Mmistcrio  dc  Economfa  y  Hacienda.  Banco  dc  EspoAa. 
diversos  orgamvmos  advent  os  a  las  autooomfasl. 

-  El  solutnen.  la  frccucncia  y  la  importance  material  dc  las  incidences  y 
mores  dctcctados  tnediante  los  mecanismo*  de  control  habitualcs.  la 
existence  de  posiblcs  reclamacioncs  interpucstas  por  clicntcs  ante  diversos 
cstamentos  (la  propiu  olicire  bancana  o  bien  otros  deportamentos  intemos,  el 
Defensor  del  Clicnlc  o  la  Olkina  de  Reclamacioncs  del  Banco  de  EspalU). 

-  La  cxistencia  de  desoiadrcs  entre  los  dates  facilitados  por  la  propia  aplicacidn 
y  los  registrados  cn  la  contabilidad  de  la  entidad. 

Para  finalirar  eslc  apartado,  qtieremos  hacer  htncapk  cn  dos  aspecios  que  nos 
pirecen,  relevantes.  De  can  a  abordar  la  plain  ficacidn  de  irahajo*.  ev  pamculaimentc 
importantc  que  cl  auditor  sea  receptiso  a  las  prop ues tas  recibtdas  dc  cuaJquter 
euamento  dc  la  organizacidn.  pucsto  que  son  los  proptos  usuarios  de  los  scrvicio* 
informikticos  los  que  mejor  suclcn  conoccr  -y  cn  ocasioncs  padecer-  los  sistemas  dc 
informacidn  que  utili/an. 

Junto  con  cllo.  otro  de  los  factores  que  considcnunos  crftico  cs  la  sensibtltdad  del 
tuditor  hacta  cl  error,  esto  ev.  hacia  aplicacioncs.  procesos  y  dates  que  esttfn  dando 
maestras  de  mores,  quizi  no  muy  numerosos.  ni  muy  imports ntes  si  se  constderan  de 
forma  aislada.  incline  pueden  ser  de  tipologfa  di versa  y  aparentemente  no 
rtiactonados.  pero  con  la  caractcristtca  comtln  cn  todos  los  cases  de  que  sc  produccn 
de  manera  continua  en  el  tiempo.  Situacionc*  como  la  dcscrita  suclcn  temunar 
poniendo  de  maiufiesto  tras  la  realizacidn  dc  la  auditorfa  debilidades  importantev  en  la 
iplicacidn.  en  una  o  mils  Areas  espccificaciones  funcionales  poco  deftnidas  o  mal 
implantadas.  debilidades  de  control  en  los  procesos.  duetto  dcfectuoso  de  la 
aplicacidn.  mantemnuento  delVcientc  dc  los  program**  informal icos.  insuficicnte 
dxutnentacKto  y  conocimiento  de  la  aplicacidn  por  parte  del  personal  informitico 
mcargado  del  mantenimiento.  etc. 


22.2.2.  Establecimiento  del  4mbito  de  la  auditoria 

La  definicidn  del  dmbito  de  la  revisidn  a  rcalizar  en  cl  trabajo  auditor,  esto  es.  la 
deecrminacidn  de  Us  actividades  y  procesos  que  serin  analizados,  depende  en  primera 
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insiancta  del  objctivo  que  prrtcnda  cubnr  el  trabajo  y  de  lav  ra/ones  quc  hayu 
aconscjado  *u  rcalizacidn 

Asf,  m  la  auditona  prclcndc  obtcner  una  visidn  de  oonjunto  accrca  del  cstado  dc 
uiu  aplkacidn.  al  objcto  de  dclcrmmar  si  cxisien  ra/onablcs  gaiantias  de  que  k* 
tratamicntos  informiticos  too  correct  os  y  la  mformacido  gcncradi  tiene  la  c alidad 
suficienic.  cl  programa  de  trabajo  probablemcnte  se  limitari  al  cstudio  de  Icm  prucesa 
mis  rc lev  antes  de  la  apltcacidn  Podcmot  decir  quc.  en  la  mayoria  de  las  apiicaciooa 
que  soporlan  dirccumcntc  productos  bancarios.  entre  las  actividades  que  cast  urapt 
serin  objeto  de  revisidn  sc  cncuentran  los  procetos  de  liquidacibn.  contabili/aciOn  j 
periodtlicacidn  coo  lade 

Una  vc/  selcccionados  los  procesos  «n  los  que  se  centnri  la  auditoria.  y  tirtnpre 
y  cuando  los  rccursos  disponiMes  asf  lo  permiun.  cs  aconvejable  revisar  dacha 
procetos  desde  un  psmto  de  vista  integral,  contcmplando  todas  las  facetas  detdc  la 
gcnrracidn  del  dato  hasta  la  obtcncidn  de  las  difcrcMct  salidas  dc  mformacidn.  ptaetto 
que  cllo  le  pcrmitira  al  auditor  dctcctar  debilidades  que.  de  otra  forma,  patarlm 
madvenidas. 

Abora  bten.  la  aproximacidn  al  trabujo  teri  neccsanamentc  distinta  si  due  k 
deriva  dc  la  existencia  de  inctdenctas  en  algtin  proceso  detectadas  pot  la 
procedimientos  de  control  habituates  en  la  enttdad  Hn  cmc  caw.  cl  imbito  de  It 
auditoria  vicnc  ya  detemunado  por  el  objctivo  del  trabajo  (averiguar  las  causas  r 
implicaciones  de  las  incidencias  detectadas).  y.  si  bicn  cl  pwuo  dc  auditoria  ted 
tamb-.dn  el  estudio  dctallado  del  proceso  en  cuestidn.  lot  resuhados  pare  laics  quc  k 
obtengan  cn  el  trameurso  de  la  auditoria  pueden  obi i gar  a  redefinir  en  algun  mometto. 
el  plan  de  trabajo. 

La  auditoria  del  proceso  finalmente  telccctonado  aharcari  las  siguientc* 
actividades  de  revisidn: 

-  Procedimientos  de  recogida  y  entrada  de  datos  que.  en  la  mayoria  de  los  catot. 
te  rrali/arin  mcdiante  transacctoncs  de  leleproceto.  para  los  que  el  auditor 
deberi  asegurar  la  cxiucncia  v  operatividad  de  lot  con  tides  perunentes  A 
cstc  rcspecto.  el  trabajo  de  auditoria  deberia  mcorporar  autdnbco  valor 
aAadido.  es  dear,  no  limit  arse  a  la  revisidn  de  los  controles  informatita 
tipkos  de  entrada  de  datos  (cootrdes  dc  mintmos  y  miximos.  control  de  que 
cl  formato  de  los  datos  es  cl  quc  corresponds,  de  fee  has  Idgicas.  etc.),  uao 
que.  por  el  contrario.  deberia  ccntrarse  cn  la  revisidn  de  la  implantacifa 
informitka  de  los  conlrdcs  opcrac  ionalcs  dcfinidos  cn  la  entidad. 

Por  cjcmplo.  cn  un  m  sterna  organi/ativo  en  el  que  los  tipos  de  interds  dc  Itt 
operacioocs  ncccsitan  ser  auton/ados  por  un  estamento  superior  cuandi 
aqudllos  no  estin  dentro  de  un  rango  dc  sal  ores,  el  auditor  deberia  comprotur 
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quc  cl  sistcma  mformitico  no  pcrmne  U  formalizacion  dc  la  opcracidn  dc 
cxtax  caractcrivticas  u  no  existc  autorir-acidn  clcctrdnica  para  la  misma. 

O  por  ciur  otro  caw.  cn  cualquicr  transaccidn  dc  alia  y  nodificacidn  dc 
contratos  dc  titularex  dc  operaciooex.  sc  dcbcrfa  rcsisar  cl  control  dc 
obligatoricdad  dc  introdoccidn  dc  un  DNl/NIF  vilido  al  ohjctc  dc  cumplir  con 
dctcrminada.%  rcgulacionc.%  cxistcntcx  quc  obligan  a  la  identificacidn  dc  los 
clicMcs. 

-  Procedimientos  de  generaciOn  dc  la  informaciOn  dc  salxa  del  proceto. 
Mvicamcntc  la  devlinada  a  cheniev  (extractor  dc  liquidacidn.  comurucaciooci 
de  revixido  dc  tipox  de  interds.  etc.)  y  organixmos  exicrom:  Htcicnda.  CIRBB. 
etc.  El  auditor.  adcmls  de  vcnficar  quc  la  informacidn  cs  fi»Wc.  coerce  la  y 
complcia.  dchcria  comprobar  lambiCn  quc  ex  conforme  ion  lav  normal 
cstablcctdas  por  los  organismo*  reccptores  cn  cuanto  a  format*  y  period icidad 
dc  cnvfo  y.  cn  lo  relative  a  clacntex.  con  lo  etlipulado  por  cl  Banco  dc  EspaAa 
en  so*  circulates  cn  matena  dc  traniparcncu  cn  Lai  opciacioncx  con  la 
clientcla. 

A  lo  largo  de  loda  la  exposkidn  se  ha  comentado  la  audilo-ta  dc  proccwi 
conudcrando  quc  dx ton  forman  parte  dc  una  apltcacidn.  Sin  embargo.  cn  ocasiooci 
uiu  misma  opcracidn.  vervievo  o  producto  hancano  no  ex  uatado  cn  una  ilnica 
iplKactdn.  vino  quc.  por  cl  contrario.  ci  wportado  por  varia*  de  elhs  lUic  icrfa  cl 
caio  dc  una  orgam/acidn  cn  la  quc  la  conlabtlxlad  comiitu)cra  una  aphcacidn  propia  c 
indcpcndicnic  del  rciio.  alimcniada  a  panir  dc  los  datoi  gcncradox  por  cl  rcito  dc 
iplicaciooes.  En  un  viitema  como  cl  dcwrilo.  una  auditoria  del  procevo  contablc 
icodria  una  doblc  verticnic.  puexto  quc  ic  podria  optar  entre  limtarxc  al  propto 
procevo.  avumicndo.  por  tanto.  la  bondad  y  cxactilud  de  lov  datos  -ecihtdox  de  lav 
tplkaciooca  quc  lo  nutren.  o  bicn.  incluir  la  revision  dc  las  intcmascx.  esto  es. 
vcnficar  la  concordancia  entre  los  dates  rccibidos  y  lov  registrads*  en  Icb  otros 
internal. 


22.2.3.  Procedi mientos  de  auditoria  a  emplear 

El  auditor,  en  cl  cjcrcicio  de  iu  actividad  y  al  cfccto  de  cumplir  con  el  objelivo 
del  trabajo.  cmpleari  di versos  proccdimicnios  y  tdemeax.  entre  lov  qoedeviacarcmos: 

Aliliw  dc  Im  progrumas  informal  km 

Comprendc  la  rcsisiOn  de  las  funciones  quc  reah/an  los  programs  por  medio  del 
csuidio  del  cuadcmo  dc  carga  y  cualquicr  otra  documcncaoOn  quc  dc  dlos  cxixla. 
Incluyc  tambicn  cl  anilius  del  propvo  cOdigo  fueme  dc  lov  program*,  la  rcali/acido 
de  pruebax  xobce  ellox  y  la  serificacidn  dc  quc  cumplcn  con  lax  evpccilicacioncx 
funcionalcs  definidas 
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El  auditor  dcbcra  pcrscgutr. 

•  Obtcner  un  conocimictuo  deullado  de  la  opcrativo  del  program*.  que  adomfa 
Ic  scrviri  postcriormente  para  comprcnder  lx%  aplicaciooes  de  lot  tmamienloi 
reaii/xdos  por  otros  programas  de  la  nusma  cadcna. 

•  Detect  *r  err  ore*  en  la  interpretacidn  e  implintacido  de  la»  cspcoficaciorw 
Funcionxles. 

•  Garantizur  la  existcncta  >  operatividad  de  los  controlcs  adccoadoc. 

Boa  kcnica  ei  inabordable  si  los  program**  no  evtdn  bien  modulados  o  carccca 
dc  documentackVn.  k>  quc  ya  de  por  s(  es  siniomilico  y  pone  de  manifiesto  una 
debilidad.  porquc  apunta  a  que  cl  nuntenimicnto  del  programa  e»  compkjo  y 
susceptible  de  quc  sc  produzcxn  erroces 

Dado  quc  la  revision  dc  programas  cs  una  tare  a  quc  consume  muchos  rccursos,  cl 
auditor  deberi  sckcciooar  cuidadosamentc  lo*  program**  y  rutinas  objeto  de  rcvisxto. 
centrindose  cxclusivamenle  cn  aqucllos  quc  scan  crfticos.  Sin  embargo,  cut 
ptoccdinucnto  presenta  la  ventaja  de  quc  si  cl  auditor  es  hSbil  y  expenmeoudo.  Ic 
pc  mute  detect  ar  la  pccscncia  dc  cabal  los  de  Troya  y  crrorcs  cn  la  intcrpcetacita 
pructica  de  cienas  espectficaciones  funciotulcs. 


Rcalizacidn  de  controlcs  de  coherenda 

Son  quizi  la  mejor  herranuenta  dc  trabajo  del  auditor,  puesto  quc  k  fanlitaa 
dcscubrir  de  una  manera  muy  cficiente  cierta*  anomalfas  en  el  funciooamicnto  de  la 
aplicactdn.  Sc  divtinguen  las  siguientes  vahantes: 

•  Controlcs  cruzados  entre  los  datos  existentcs  cn  archivos  >•  bases  de  date# 
distinto*  obtenidos  cn  un  proceso  comtin  (si  lo  quc  sc  quicrc  pcobar  es  la 
boodad  del  proceso).  o  bien.  en  pcoccsos  distintos. 

Por  cycmplo,  si  se  desca  comprohar  quc  el  saldo  que  presentan  determinadas 
cuentas  es  corrccto.  sc  pueden  utilizar  los  datos  existentcs  cn  cl  archivo  de 
movimientos  dc  las  cuentas.  de  manera  quc  la*  imputacionc*  babul*'.  sumalas 
algebraicamcntc*  y  teniendo  en  cucnta  cl  signo  (debe/haber)  del  apucte. 
confomurin  un  saldo  quc  deberfa  cosncidir  con  el  existente  en  el  archivo  dc 
*aldo  de  cuentas. 

•  Controlcs  de  cohere ncia  sobre  la  propia  base  de  dato*  par)  aquello*  datos 
relacionados  entre  si. 
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Foe  cjemplo.  cn  uru  Kim  dc  datot  de  prctumcn  en  U  que  te  guardan  lat 
informacionet  relatival  al  pUro  de  la  operation  (rocsct  comyrendidot  detde 
tu  formal  i  rat  1O0  a  tu  vencimicnto).  la  penodicidad  de  U  hquidaoOn  y  cl 
niimero  de  liquidacionct  en  la  vida  dc  la  opcracibn.  uno  de  lot  pot  i  bio 
eootrolet  a  rtalizar  o  com  probar  que  cl  producto  de  etfot  dot  tiltimoi  datot 
(penodicidad  y  numero  de  liquidaciono)  no  o  tupcnor  al  primcro  (plan)  dc 
la  opcracidnl 

•  Cootrokt  rcaluadot  utilmndo  programat  indcpcndientet 

Procodimienio  ctttico  de  auditoria  mfomvMica.  pcro  moy  Oil  para  delectar 
un  mat  funciunamicnto  en  lot  internal.  aun  cuando  cn  cue  cato  el  auditor 
dcbc  garanti/ar  que  w  programa  (en  opccial  ti  ha  vkJo  rrak/ado  por  dl  c> 
adecuado  al  fin  pcneguido  y  proporciona  multados  fiablev 

F.tla  t&nica  e\  principalmcnte  de  apticaciOn  cuando  ve  4c*ca  probar  el 
correcto  funcionamicnto  del  programa  de  la  entidad  en  lOmiulat  o 
algoritmot  ctpccilicov 

Por  ejemplo.  el  auditor  podria  aplicar  un  procedmuento  dc  cue  tipo  cn  la 
bate  de  datot  anterior  para  detemunar  la  bondad  del  dato  del  pla/o  dc  la 
operaciOn  gcnerado  por  la  propia  aplicaodn.  uttlirandc  para  ello  un 
programa  prop  to  que  procoe  lat  fee  hat  dc  Kormalizacibn  y  de  vencimiento. 


22.2.4.  Consideraciones  a  tener  en  cuenta  durante  la 
realizacidn  de  la  audltoria 

-  Reali/ar  un  tegutmienio  pcnddico  del  mvel  de  cumptimerio  del  plan  dc 
trahajo  y  evaluarlo  a  la  lu  de  lot  hechot  que  te  vayan  poniendo  de  mamfietto 
en  el  trantcurto  de  la  auditoria.  En  oca  nonet.  puede  ter  mterctante  mtroducir 
modificaciones  en  cl  plan  initial  y  cl  auditor  deberia  utilirar  tu  lOgica  para 
decidir  al  ropecto  cuando: 

•  Sieiulo  lot  recunot  muy  limitadov  hay  a  cncontrado  un  grado  dc 
cumplimicnto  raronaMemcnte  tatitfactorio  en  cicrtas  aettvidadet  que  no 
acomejc  uru  rcviudn  cxccutamente  detallada  de  ellas. 

•  Se  hay  an  detcctado  emmet  de  relctancia  cn  ciertat  facctai  que  impliqucn 
pcofundi/ar  en  el  imbito  initial  prcviuo  para  cllat  y  Miponga  la 
impotibilidad  de  ahordar  algunot  otrot  pumot  del  programa  de  trabajo 


-  Si  durante  la  auditoria  te  detectan  erroro.  teri  necetano: 
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•  Estudiar  en  detalle  la  rcpcrcusioo  e  impltcactonex  del  error,  considenndo 
todtrt  los  proccsox  afoctados  pot  <il  directa  o  indircctamentc. 

•  Ex  aluar  o.  al  me  nos.  estimar  el  impacto  ecoo6mico  del  error,  teniendo  e# 
cuertfa  el  ndmero  dc  opcracioncs  afectadas  y  el  perfodo  dc  liempo  desde 
el  que  sc  vicncn  produciendo. 

•  Dctcnninar  las  causas  que  ban  motivado  cl  error  y.  cn  el  supuesto  de  que 
Cstc  lleve  algdn  liempo  produci&idoxc.  lo*  f alios  existences  cn  lot 
procedimiencos  dc  control,  que  no  permiticron  su  pronta  detcco6n 

•  Proponcr  o  recomcndar  las  medidas  a  tomar  para  la  rcsotucidfl  del  error  y 
rcali/ar  una  estimation  aproximada  del  cosle  asociado. 

-  F.n  aquellos  casos  cn  que  sc  drtecle  la  incxistencia  dc  los  oporlunos  ccintroles. 
o  bicn.  aun  cuando  existan.  no  lengan  opcratis  idad.  el  auditor  deberia: 

•  Rcalizar  las  peuebas  y  los  controtex  de  cohcrencia  cnlre  dales  neccsanos 
para  dcierminar  las  cooveeucncias  practicas  derivadas  de  la  situaote. 
fundamental  mentc  cn  matena  dc  err  ores  no  detee  Iadov 

•  Recomcndar  los  mccanismos  dc  control  que  xolventen  la  carencia 

existence. 

-  Cuando  los  usuarsos  dc  la  aplkacidn  hayan  dejando  scnlir  sus  dudas  accrca  de 
un  adccuado  (unciocumicnco  de  la  aplicacido  cn  algOn  aspccto  concrete,  d 
auditor  deberia  obecner  una  rclackta  documcntada  dc  Us  distintas  incklcnciat 
existences,  para,  a  coolinuacidn.  procedcr  a  avenguar  sus  causas. 

-  Sc  debe  terser  presence  que.  lo  que  cn  ocasiorses  ex  percibtdo  por  cl  osuario 
como  un  mal  funcionamicnto  informitico.  poedc  cscondcr.  cn  rcalidad.  uaa 
dcficiencia  mis  profunda  de  tipo  operativo  u  orgam/ativo  Al  mismo  tiempo. 
errores  pcrcibidos  por  los  usuanos  como  bee  bos  aislados  pueden.  cn  tlltimi 
instancia.  scr  sdto  diferentes  manifcstacioncs  de  una  causa  comiin  que  la 
auditoria  deberia  poner  de  manificxto. 


www.FreeLibros.me 


»«*»» _ carrivi.o ::  altxtosIa  imohmAttca  tx  fx  sixto*  bancamo 

22.3.  AUDITORfA  INFORMATICA  DE  LA  PROTECCldN  OE 
DATOS  PERSONALES 

22.3.1.  La  importancia  y  el  valor  de  la  informacidn  en  el  sector 
bancario 

Como  una  consccuencta  Idgica  dc  lax  funcioncx  quc  rcaliza.  vim  cntidad 
financier'd  dispone  dc  divena  informacidn  accrca  de  la  xituacidn  patrimonial  y 
personal  de  cada  uno  dc  xux  clientes. 

Se  puedc  rcaluar  un  cjercicio  de  abstraccidn  pcnxando  en  qud  duos  poxee  un 
taco  dc  «i  clicntela.  bn  printer  lugar.  xux  datox  personates  inomtre.  dircocidn. 
Itlffono).  pero  muy  probablcmcntc  dispondri  lainbtdn  dc  datox  profexionalex 
(actix-idad  a  la  que  »e  dedica.  empresa  para  la  quc  trabaja).  Tendril  aximismo  la 
iaformacidn  rcUlisa  a  todos  lox  productox  comratados  per  cl  clienle  ran  el  banco: 
poxicidn  coinplcia  de  xux  cucntax  (saldot  e  imputac  tones  reali/adas  por  diverxox 
cOKcptox),  el  valor  tasado  dc  xu  vivienda  u  en  algtln  momento  la  ,-ntidad  Ic  ha 
ctecedido  un  prdxtamo  para  xu  adquixkidn.  xu  nisei  de  cndcutamicnlo.  lax 
iaxenionex  quc  real i /a  y  lox  productox  en  quc  lax  matenali/a.  cl  importc  de  xu 
■fauna... 


Pero  adeinis.  ,  que  conocimienio  indirocto  xc  puede  obtencr  a  partir  de  algunax  de 
tsax  informacionex?  Hntre  otnu  coxax,  xe  poeden  conocer  axpectos  peisooalex  dc  xu 
«d*  prixada:  xux  gustos  y  aficionex.  lax  axociocionex  a  lax  quc  pcrtcnecc.  lax  tiendax 
at  In  quc  compel,  lox  lugarex  quc  visits.  cl  colegio  donde  cunan  extudm  xux  hijox  y 
■  largo  etcetera. 

La  sensibilidad  de  la  informacidn  manejada  por  una  entidad  fmanc era  ex  mayor 
a  k  ticne  en  cucnta  la  toulidad  de  xux  clicntcx  y  productox.  a  si  conn  cl  nixel  de 
ipcgacidn  que  ello  representa.  Pidnxexe  en  cl  valor  adadido  que  ticne  la  informacidn 
a  mcdxla  quc  dsta  va  xiendo  mix  completa:  por  ejcmplo.  conocer  la  poxiridn  dc  todos 
lot  clientes  dc  paxivo  en  todox  lox  productox  quc  tienen  conuaudox  ex  una 
iiformacidn  mix  valioxa.  y  por  tanto  mix  tenxible.  que  dixponer  cxclu'ivamcntc  del 
taUode  lax  cucntax  de  un  linico-clicnte. 

Lox  principals  riesgos  a  lox  quc  hace  frentc  la  gestidn  de  la  informacidn  son  lox 
■(Males: 

•  Difuxidn  no  auton/ada,  intencionada  o  no.  hacia  dextinox  imprtcedentes.  A 
exte  rexpecto.  ex  incucvtionable  el  valor  quc  la  informacidn  bancaria  de  lox 
clientes  puede  representar  para  empresax  comercialcx  y  «ro  tipo  de 
organizacioncs. 


La  confidcncialidad  es  cti  general,  un  icma  de  especial  preocupocibn  en 
cualquvcr  entidad  financiera.  pucsto  que  el  negocio  bancarto  time  corao  ocu 
dc  Mis  caractcrfstica*  la  dc  ser  una  actividad  en  la  que.  cn  mayor  o  mtocr 
grado.  inccrvienc  la  coofimza  depoutada  por  el  clieMe  en  la  entidad. 

•  Obtcncidn  de  informacidn  errdnea.  por  accidence  o  por  manipulacko  indrteda. 
que  ademls.  y  como  comccucncia  de  la  normaliva  a  la  que  cstti  soroetida  la 
actividad  banc  ana.  es  ccdida  a  lerceros.  con  I  os  consiguientcs  pcrjuioos  que 
elk*  poeda  ocavionar  cn  ultima  instancia  a  lot  client  es. 

I.a  combinacidn  formada  por  el  valor  de  la  informacidn  y  lot  riesgos  a  que  oti 
cxpucsta,  tun  propiciado  la  apancidn  de  discrsas  regulaciones  para  protegeria  tuyo 
cumplimiento  forma  parte  del  iimbito  de  revision  dc  la  auditorfa  informitica. 

Existcn  dos  f adores  que.  dc  mancra  especial,  crccmos  dehen  set  tenidex  en 
cucnta  al  abordar  cualquier  trabajo  de  auditorfa  relative  a  la  calidad  (entendida  tsla  en 
su  mis  amp!  10  concepto)  de  la  informacidn  En  primer  lugar.  e-sti  cl  hccho  dc  qoe 
cada  vex  en  mayor  medida  cxistc  dentro  de  las  organi/acioncs  una  elevada  difuwtn 
intema  dc  los  datos  que  puede  llcgar  a  mouvar  que  una  misma  informackta  resida  en 
mis  dc  una  ubicacido  con  medidas  dc  seguridad  que  deberfan  ser  homoglncas.  Ka 
segundo  lugar.  el  auditor  debe  scr  conscience  dc  la  riqueza  que  presents  la  informacita 
a  medida  que  <sta  va  siendo  agregada.  comparada  con  otras  fuentes  de  datos  y 
cstudiada  evolutivamente. 

La  combinacidn  dc  ambos  fact  ores  (difusidn  y  cnriquecimiento  de  la 
informacidn)  puede  conducir  a  un  proccso  en  el  que  las  organ  i/aciooes  no  lleguen  a 
conoccr  exact  omente  el  volumen  de  informacidn  de  que  disponen  y.  por  tan  to,  no  scan 
capacex  de  protegerla  convcnicntemcntc  frente  a  los  riesgos  cxpucstos. 

No  es  excesivamente  comdn  encontrar  orgamractoocs  cmprcsarialcs  que  tcegaa 
su  informaciOn  clasifkada  en  nivclcs  de  segundad.  cn  funcidn  dc  la  scnubilidid, 
confidcncialidad  y  valor  cstnikgico  que  aqu^lla  posea.  Sin  embargo,  la  adopetdn  de 
cste  tipo  dc  pricticas.  que  surge  en  general  de  la  ncccxidad  de  conoccr,  mejorar  y 
controlar  la  distribution  dc  la  informaciOn  exisicnte.  se  hacc  mis  nccesaria  a  medkla 
que  surgen  regulaciones  que  obligan  a  garanti/ar  la  proteccidn  dc  los  datos  personates 
y  ftnancicros  dc  los  clkntcs. 
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22.3.2.  Actlvldades  de  auditoria  en  relacion  con  la  proteccidn 
de  datos  personales 

13  Smbito  de  actuaci6n  de  la  funcidn  auditors  cn  cste  campo  sc  centra  en  la 
verificacidn  de  la  LORTAD  y  dcmis  Instruction  cs  promulgadas  por  la  Agenda  de 
ftoteccidn  de  Duiot. 


213.2.1.  Auditoria  dr  cumplimicnto  dr  la  I  ml  rucc  kin  1/1995 

El  artfculo  9. 1  de  la  I.ORTAD  csUMccc  que  ~tl  reiponuitde  de  lot  datos  debent 
adaptor  las  medidat  de  indole  t/cnieu  y  orgam'zativa  necesariat  que  garanticen  la 
tegundad  de  lot  datos  de  cardcter  personal  y  ri  Hen  su  alleraddn.  pdrdida. 
tntamienlo  o  aeceso  no  autorizado.  habida  cuenta  del  estado  de  la  tecnologio.  la 
aaturaleui  de  lot  datos  almaeenados  v  los  rietgos  a  que  esldn  expuettoi.  y a 
pnnengan  de  la  accidn  humana  o  del  medio  fiska  a  natural". 

La  liutniccidn  1/1995.  puMicada  cn  fccha  4/03/95.  cn  su  Capltulo  1 1  obliga  a  la 
icahucidfl  de  una  auditoria  pcriddica: 

'  I.  Los  sittemas  que  almaeenen  o  proceten  informat  ion  relaliva  al  cumphmiento 
o  incumpUmiento  de  las  obligor  tones  dinerariat  deberdn  acreditar  la  efecliva 
implantat  ion  de  lot  medidas  de  tegundad  e.iigidai  par  el  artfculo  9.1  de  la 
Ley  Orgdnica  dentro  del  abo  tiguiente  a  la  publicacidn  de  la  presente 
Inst  rue  cidn  f...> 

2.  La  Implantation,  idoneidad  y  eftcacia  de  dichat  medidas  se  aeredilard 
mediante  la  realizocidn  de  una  autlitoria,  proporcionada  a  la  naluraleza. 
i  olumen  y  coracle ritticai  de  los  datos  personate t  almaeenados  y  tratados.  y 
la  remisidn  del  informe  final  de  la  mitma  a  la  Agenda  de  Protection  de 
Datos. 

5.  El  informe  de  auditoria  deberd  dictaminar  sabre  la  adecuacidn  de  las 
medidas  y  controlet  destinados  a  garantizar  la  integridad  y  confidencialidad 
de  las  datos  personales  almaeenados  o  tratados.  tdentificar  sus  deficiencias  o 
insufieiencias  y  proponer  las  medidas  correctoras  o  complementarias 
necesariat.  Deberd.  igualmente.  intluir  los  datos.  hechos  y  obserutciones  en 
que  se  basan  los  dietdmenes  alcanzados  y  recomendaciones  propuestas. 

6.  Adicionalmente,  los  sistemas  que  almaeenen  o  proceten  information  relalivo 
at  cumphmiento  o  incumpUmiento  de  obligaciones  dineranas  deberdn 
someterse  a  una  nuesa  auditoria  teas  la  adopcidn  de  las  medidat  espectficat 
que.  en  su  caso.  la  Agenda  determine,  a  resultas  del  informe  initial  de 
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audiloria.  En  todo  caso.  dichot  listemas  dtbtrdn  ttr  amixladu 
periddtcamtnir.  a  mUnalos  no  mayor  ft  dt  dot  aAoi.  “ 

En  cl  momcnlo  cn  quc  te  promulgO  Ni  Instniccidn.  sc  tuvcilaroo  divenas  Judat 
accrca  dc  vu  alcancc.  Aci.  sc  plonteata  si  su  imbito  de  aplkacidn  sc  limiuba  *  lot 
archives  dc  solvencia  patrimonial  o  crddito  fomudos  pot  agrcgacido  dc  los  aithnor 
dc  lost  cntMUde*  acrccdoras  (los  citados  archive*  agrcgados  cstin  traiados  cn  d 
Capitulo  I  dc  la  Inttruccidn)  o  si.  por  cl  contrano.  amparaba  umbidn  a  los  segundos 
Tambidn  *c  cucstionaba  si.  cn  cl  supucslo  dc  quc  cl  imbito  dc  la  Instruction  evtuvieii 
limitodo  al  archivo  agrcgado.  Ilamado  cn  dla  "comun”.  era  dc  aplicacidn  para  k» 
banc  os  >  demit  entidade*  finanocras  o  c-vuba  restringido  a  aqucllas  sociesUdet  qx. 
cspcvlficunKntc.  presun  seme-tot  dc  informacidn  tobre  tolvencia  patrimonial  y 
cnSJito.  como  puede  ter  cl  caso  del  ASNEF 

linalmcntc.  la  opirndn  mis  genera  hrada.  sustentada  cn  algunas  coesultat 
efectuaslas  a  la  Agent  ea.  foe  quc  sc  dehen  contidcrar  afcctadas  por  die  ha  Instruct*1*  y. 
por  unto,  sujeus  a  la  obligacidn  dc  set  auditadas.  las  cntidadcs  financtcrat  quc  poscan 
copra  dc  lot  archie  on  agrcgados.  >  cn  especial,  del  RAI  (Registro  dc  AceptaciPo  dr 
Impagados). 

Por  lo  quc  respecta  a  la  reali/acidn  dc  la  audiloria  cn  ri,  <*U  deberia  vcrificar  cl 
cumplimicnto  dc  los  cooirolcs  cn  Us  viguientes  Areas 

•  Controlcs  dc  procedimientos  y  nonius  opera tivas: 

-  VcnlicaciOn  dc  U  esistcncia  dc  procedimientos  documeniadot,  dc 
aplicacidn  cn  toda  la  entidad.  quc  estable/can  Us  medislas  a  cumphr  ea 
cuanto  al  archivo  y  distnbuciOo  dc  U  information: 

♦  FJtquctado.  transport  y  destruccrdn  dc  los  soportes  dc  dates  (cintas. 
€  art  rid  get.  disquetes) 

♦  Periodo  dc  retention  (archivo)  dc  archives  y  suv  copras  «Jc  vegundai 
proccdimiento  dc  borrado  dc  los  datos  a  U  final iracidn  del  periedo  de 
retencidn 

♦  TransmUtooes  dc  archivos. 

-  Verification  de  U  exisiencia  dc  normas  dc  actuacidn  a  seguir  por  los 

empkados; 

♦  Politic  as  dc  ooncrcnciacidn  cn  materia  de  se  gun  dad  quc  profundiccn  ea 
la  imporuncia  dc  la  confide ncialtdad  de  la  informacidn.  los  nesgos  a  lot 
quc  sc  enfrenla  y  Us  posiblcs  implicacioncs  denvadas  de  la 
materialincidn  dc  csos  nesgos. 

♦  Normas  cscritas  quc  ccpccifiqucn  cl  eddigo  dc  riica  cstablceido  por  b 
entidad  y  dc  obligado  cumplimicnto  por  todos  los  empleadot 
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•  Controlcs  relactooados  con  U  scguridad  fisica: 

-  Comprohacidn  de  la  opcratividad  >  adccuacidn  a  los  fines  a  lot  que  van 
dcslinadtt  dc  las  medirUt  dc  control  exisleme*  cn  materia  de  acccso  a  Us 
inttalaciones  y  dc  acccso  a  los  soportes  dc  datos  (tamo  cn  Us  distintas 
ituiaUciones  dc  proccso  como  cn  el  lugar  de  almaccnamicnlo  secutuUrio 
dc  respa  Wo). 

-  Vcnficacidn  de  las  mcdidas  dc  scguridad  en  re  lac  Wo  con  cl  transport* 
fisico  dc  los  soportes  dc  datos.  lanto  entre  las  distintas  instalacioocs  cn  quo 
sc  proccsa.  como  dude  £stas  al  almaccnamicnlo  sccundario  y  vicetcrsa. 

•  Controlcs  rclativos  a  U  scguridad  I6gica 

-  Vcrificaridn  de  que  estin  implantados  controlcs  dc  acccso  a  los  archivos  y 
bases  dc  datos.  cn  los  distintos  cntocnos  en  que  Cstos  residan.  que  eviten 
que  aqudllo*  puedan  scr  indebidamente  lefdos.  cops  ados  o  alter  ados 

-  Vcrificacidn  dc  que  U  entidad  tiene  formal mente  definido  un  registro  dc 
usuarios  au  ton /ados  a  acccdcr  a  cada  uno  dc  las  archivos  dc  datos  cn  cl 
que  sc  cspccifiquc  cl  mode  dc  acccso  (Icctura.  copra,  etc.)  que  cada  usuano 
licoc  permitido.  Comprobacion  del  proccdimicnto  esubkeido  para  la 
inclusion  y  baja  cn  dicho  registro. 

-  Comprobacidn  dc  que  ex  isle  un  registro  dc  los  internets  dc  acccso  al 
si  sterna  no  autori/ados.  y  para  aquellos  archivos  mis  cn'ticos.  un  registro 
dc  los  acccsos  cfcctivamcntc  producidos  cn  cl  que  sc  mdiquc  la  fccha  y 
hors.  el  tipo  de  operaeWn  rcali/ada  sobre  los  datos  y  cl  usuano  que  la 
inicid. 


•  Controlcs  dc  rcspaldo: 

-  Vcrificacidn  dc  los  proccdi mientrw  de  rcali/acsdn  dc  coptas  dc  segundad 

Jo  daios  y  programos  al  ottjeto  Jo  Jefemunar  vu  adevsjootJci  y  opcruliv  iduJ 

-  Revision  dc  los  proccdimicntos  e  stab  lee  idos  cn  rclacWn  con  cl  centre  dc 
backup  y  cl  plan  dc  contingencia:  comprobactdn  dc  U  rcali/acidn  dc 
pructxas  pcnddicas.  anilisis  del  resultado  dc  dsUs.  etc. 


2ZJ.2.2.  Auditoria  dc  cumplimk-nto  dc  otros  aspects*  dc  U  LORTAD 

La  LORTAD.  y  demit  Instruccioncs  cmitidas  pot  U  Agenda  dc  Proteccidn  de 
tarn,  incluyc  cn  su  articuUdo  vanas  normas  y  oMigaetoncs  legale*,  cuyo 
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cumplirmeixo  debcrfa  ser  vcnficado  por  la  audttoria  mfonniiUca.  dc  Us  tula 
cxtractamos  aquf  las  que  considcramos  mis  relevances: 


223.2.2. I.  C alidad  dr  lot  datot  patrunomalet  y  finanatroi  incluidot  en  arthhot  it 
morosot 

1-a  ya  mencionada  Irutniccidci  1/1995  esublcce: 

"I  .La  inclumin  dr  lot  datot  dr  cordate  personal  rn  lot  archivos  relatum  al 
cumplimirnto  o  incumphmirnto  dr  obligacionet  dtnerarias,  a  lot  que  t» 
rrfittr  rl  articulo  28  dr  la  Ley  Orgdnica  S/1992,  drbrrd  efectuarse  lolammt 
cuando  roncurran  lot  tiguientet  rrqunitot: 

al  Existrncia  previa  dr  una  deuda  arrta.  vrncida  r  exigible,  que  bay* 
retultado  impagada. 

b)  Rrqurrimirnto  previo  dr  pago  a  quirn  corrttponda.  tn  iu  cato.  tl 
cumplimirnto  dr  la  obligacidn. 

2.  No  podrdn  mcluirie  rn  lot  arc  hi  vot  dr  rita  nat urate  to  datot  prrtonalrt  i obrt 
lot  que  exiua  un  prtnapio  dr  prueba  documental  qur  aparrntemrntt 
contradiga  alguno  dr  lot  requiulot  ante  horn. 

3.  El  acreedor  o  qui/n  actue  por  tu  curnta  r  inter/ 1  drbrrd  asrgurane  dr  qur 
ccmcurrrn  lodot  lot  requhitot  rtigidos  rn  el  ntimero  I  de  rita  norma  en  tl 
momenio  dr  notifkar  lot  datot  advtrtot  al  mporuablr  del  archivo  comiin  ". 

Pur  unto,  la  auditorfa  informllka  deberia  reviser  I  os  archivos  de  mormon  y 
falltdos  relalivos  a  clienics  de  la  propia  cnttdad.  csto  C*.  cuando  cl  banco  et  d 
acreedor.  as(.  como  los  archivos  generado*  con  dcstino  a  ter  mcorporados  m  un 
archivo  comiin  de  varias  entidades  (RAI.  ASN'EF.  CIRBF.),  al  objcco  de  serificar  que 
la  deuda  rcgistrada  y  comunicada  es  real. 


22  3.2.2.2.  Compra  dr  archivoi  para  prosptccidn  comer cial 
El  artfculo  30  de  U  I.ORTAD  regula: 

"  /.  Silo  te  ulilizardn  dr  forma  automatizada  datot  de  cardcter  perionat  en  lot 
encueuat  de  opinidn.  trabajos  dr  prosprccidn  dr  mercadot.  iavettigacidn 
cientlfica  o  medico  v  aclividadrs  andlogat.  ti  el  afectado  hubiera  prestada 
libremente  tu  contentimirnto  a  tat  rfecto. 
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2.  Las  dales  de  cardcter  personal  tratados  automdlicamenle  con  ocasion  de  tales 
aclividades  no  podrdn  ser  utiUzndos  con  finaUdad  ditiinia  ni  cei'idos  de  forma 
que  puedan  ser  puestos  en  relacion  con  una  persona  concrtta. " 

Ante  la  ptwMc  cxisteocia  dc  archivot  coo  datot  penonalct  compndos  al  objcto 
dc  icali/ar  protpcccionet  comercialev  cl  auditor  dcberfa  vcnficar  quc 

-  La  cMidad  sc  ha  xtcgurado  dc  la  legal  ulad  dc  lot  datot  quc  comjca 

-  El  contrato  rccogc  lax  dlutulat  adecuadat  quc  liberen  dc  retpoavabilidad  a  la 
CMidad  financier*  frrn'.c  a  potiblet  incumpfimicntos  dc  la  normiliva  legal  por 
pane  del  vendedor. 


J2J.2.2J.  Datos  personates  recabados  para  un  seguro  asocusdo  a  nn  piestamo 

la  Inxtniccidn  2/199$  protege  lot  dalot  pertonalcs  rccabadot  para  la 
fantulizacidn  de  aqudlot  tegurot  dc  v tda  atociadot  con  la  conccvidn  de  un  prduamo 
#  ctedito.  dc  mancra  que  cl  bcncficuno  del  teguro  ct  la  propia  cntidad  acrccdnra 
free  oirat.  c\t*b4ccc  lat  tiguicntrt  norma*.  cuyo  cumplinucnto  cnira  deniro  del 
tobito  de  revitidn  de  la  audilorfa  informdtic*  de  la  cntidad  financier*: 

' Norma  segunda.-  lie  Us  recogida  de  los  dates 

1.  la  obtencidn  de  datos  personates  a  efectos  de  la  celebracidn  ie  un  coni  rate 
de  seguro  de  sida.  one  jo  a  la  concesidn  de  un  erddito  hipotecario  o  personal, 
efectuada  por  las  enttdades  de  erddito  a  trends  de  cuestionanos  u  otros 
impresot.  deberd  realizarse.  en  todo  caw.  mediante  modelos  separadot  para 
coda  uno  de  los  contratos  a  celebrar.  En  los  formularies  cuyo  deslinatario 
scan  las  entidades  bancarias  no  podrdn  recabarse  en  ningin  caso  datos 
relatives  a  la  salud  del  solicitante. 

2.  Cuatquiera  que  sea  el  ntodo  de  llesarse  a  efecto  la  recogida  de  lotos  de  salud 
necesarios  para  la  ceUbrocidn  del  seguro  de  vide  deberd  cornier 
exprtsamente  el  compromise  de  la  enttdad  de  crddito  de  que  los  datos 
obtenidos  a  lal  fin  udamente  serein  utilizados  por  la  entidad  aseguradora 
Las  entidades  de  crddito  no  podrdn  incluir  los  datos  de  salud  en  sus  archives 
mformatizados  o  en  aqueUos  en  los  que  almacenen  datos  de  forma 
consencional. 

Nonna  tercero.-  Consentimiento  del  afectado  y  tratamiento  de  lot  aatos 

El  afectado  deberd  manifestar  su  consentimiento  por  separado  pant  coda  uno  de 
los  contratos  y  para  el  tratamiento  distinto  de  la  informaculn  que  ambos  conllevan. 
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Lot  rnliJmlfs  dt  e  red Ho  j olamtnlt  podrdn  Iralar  aqueltoi  datoi  ptrumaUt.  mo 
npteialmrntr  prottgidot.  que  start  rstnaamtnle  ntctuinos  para  rtlaesonar  H 
eonlralo  dt  pUiiamo  con  tl  eonlrato  dt  ttguro  dt  \ ida  etltbraao  coma  ctmitattntia 
Jt  aqu/l  o  qut  turn  juuiflatdot  par  la  inltntnt  idn  dt  la  tniidad  dt  crfdiio  eormo 
agtntt  o  tomador  dt I  eonlrato  dt  ttguro. " 

Pot  unto,  cl  auditor  deberia  vcrificar. 

-  I.a  ausencia  dc  referenda*  a  dato*  *obre  la  xalud  del  futuro  prcUaUno  en  1m 
foonulanos  de  recogida  dc  dato*  del  prdvtamo. 

-  lai  incxixtcncia  dc  mngOn  tipo  de  archito  pot  pane  de  la  entidad  financier*.  r» 
informitica  ni  manual,  cn  el  que  etpreumtiue  *c  recojan  lo\  dahM  dc  *alud  de 
kx  eliente*. 

-  la  extxtcncia  de  la  informacidn  adccuada  en  cl  clatxurado  del  impreto 
utilizado  para  la  rccogida  de  to*  data*  relative*  al  icguro. al  revpccto  dc: 

*  tl  cotnpromivo  del  banco  de  que  k»  dato*  que  propotcionc  el  eliente  win 
excluuvamcntc  ccdido*  a  la  cnodad  a*cguradora 

*  Nombrc  y  dircccidn  del  dextinatario  de  la  iaformactdti  (entidad 
aveguradora). 

*  El  dcrecho  del  afcctado  a  la  oxivulta.  recti licaodn  ,■  cancelacido  de  kn 
dato*  exixtente*  accrca  de  dl.  en  cumplimiento  dc  lo  cxtablecido  en  la 
I.ORTAD. 


22.4.  CUESTIONES  DE  REPASO 

I  ,.tn  qud  faccta  rexulu  mi*  valio*a  la  paflicipacrtn  de  la  audited* 
informitica  cn  el  tector  financiero? 

2.  j.Qud  caracterfxtica*  tienen  la*  aplicacione*  informitica*  que  xoporua 
producto*  bancario*? 

3.  j.lin  qud  st  diferencian  la*  auditoria*  de  medio*  de  pag»  de  la*  auditorial  de 
producto*  dc  texoreria? 

4.  iQut  conocimicnto*  nccc*iu  un  auditor  informitico  pari  podrr  Ilevar  a  cabo 
una  auditoria  en  el  *ector  bancario? 

5.  Comentc  edmo  afecu  la  I.ORT  AD  a  la*  aplicacione*  banc  ana* 
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6.  iQtk  aplicacioncs  crcc  quc  licnc  cl  problcma  del  EURO  en  la  auditorfa 
■nformilica  dc  cnlidade*  financier**? 

7.  Come  rue  axpccto*  a  lencr  en  cucnta  rcspecto  a  to*  "  archive**  dc  raoriKO*". 

8.  rckricciooe*  exiuen  rcspecto  a  la*  daio*  rccabodo*  para  un  seguro 
asoctado  a  un  pr&umo? 

9.  DiscAe  una  plamficacidn  anual  de  (nbajat  pan  auditoria  informal  tea  dc  una 
pequcAa  cniidad  tancana. 

10.  cQut  eonuderacioacs  dc  la*  expucsiax  cn  cl  captiuk*  podrian  aplicarxe  a  la 
audiiorfa  de  empresav  dc  icguro*?  dc  asistcncu  sanitaria? 
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AUDITORfA 

INFORMATICA  EN  EL  SECTOR  AfeRKO 


Aurelia  llrrmoio  BaAos 


23.1.  INTRODUCCldN 

Por  hacer  un  poco  de  histnria  podriamos  dccir  que  cn  cl  mundo  informilico  del 
lector  afrco  leu  aspects  juridteos  no  Kan  icmdo  un  {ran  impacto  cn  cl  dcsarrollo  dado 
qae  apenas  cxiuian  y  e*tc  sector  cstaba  monopoli/ado  por  lax  crr.prcvav  fahneanlex  de 
hardware  y  Ion  product  on  y  apltcacione*  toflw  are  cn  las  que  sc  basaba  cl  Uatamicnto 
de  los  datox  y  cn  las  facilidadcs  que  ofrccla  cl  uttema  operalivo  de  sun  miquina*. 

Los  aspecios  vobre  los  que  se  rcaliraban  trahajos  de  audnoria  cran  los  cllsico*  de 
mil  mi  ccondmica  y  financiers  sobre  los  cua  lev  aporlc  del  modo  operalivo.  haMa  que 
cumplu  requisites  obligados  que  estaKan  rcglamentados  por  los  organismos  oftciales 
del  pals  No  obsuntc.  dentro  del  sector  KaWa  que  cumplir  la  legislacidn  intemacional 
ccrrespondiente. 

Cuando  cl  mundo  de  la  audnoria  sc  dio  cucnta  de  que  los  datos  cran  manejados 
por  sistemax  informdiicos.  nacid  la  audnoria  informitica.  la  cual  iba  mis  dirigida  a  la 
organi/acidn  del  centro  proccso  de  datos  y  a  la  custodia  de  los  datos  en  disposiiisos 
nagndiicos  cumplicndo  con  la  legislacidn  de  guardar  la  intormacsdn  al  menos  cinco 


La  expanstbn  del  mundo  informitico  debido  al  avance  de  la  tccnologia  motivd 
qoe  determinados  datos  se  proce varan  en  lugares  geogriTicamente  distames  e  incluso 
por  empresas  dtstintas  cuyo  dnico  fin  era  fonalcccr  el  negocio  del  sector  adrto  a  nisei 
mindial  cn  fuertc  compelencia  con  el  resto  de  las  compoiUas  alreav 
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Con  all  idea  nacicron  diverse*  xistcmax  de  rexervax  a  nivcl  intcmacional  eotrt 
lox  que  podemoa  cttar  lox  amcncanos  SABRE.  SYSTEM  ONE  y  APOLLO,  y  loi  e* 
ropcos  GALILEO  y  AMADEUS,  apartc  de  Ion  naciorulcx  que  cn  EvpuAa  era  SAVIA 


23.2.  SISTEMA  DE  RESERVAS  AMADEUS 

Lax  Ifncax  atfreax  curopeax  no  podfan  quedarxe  atrix  ante  cl  empuye  amcncano  y 
sc  conxtituyd  co«no  sociedad  andninu  AMADEUS  GLOBAL  TRAVEL 
DISTRIBUTION,  xiendo  Ion  xociox  adualcx  Air  France.  Iberia.  Lufthansa  y 
Continental  Airlines. 

Su  finalidad  ex  propoccionar  un  sixtema  de  rexervax  a  nivcl  international  de 
divcrxox  product  ox  entre  Ion  que  xc  cncucntran:  vuclox  aercox.  hoteks.  alquitcr  de 
cochcx.  etc. 


A  cMc  xcrvicio  ,xc  coned  an  lax  Agenciax  de  Viajc  y  Compaftfas  A  if  re  an  medunte 
terminalex  informdticos.  Dcxde  exto*  temunalex  lox  adheridox  rcali/an  lax  rexervas  ea 
nombre  de  xux  clientcx, 

En  Exp* IVa  sc  reali/a  exta  funcion  a  nivcl  national  por  medio  de  la  compadia 
SAVIA.  Si  sterna  para  lax  Agendas  de  Viajex.  utilirando  lox  servicios  de  lox  grander 
xixtemas  informdticox  de  IBERIA. 

Al  xixiema  xc  pueden  adhenr  lambidn  lox  provecdorcx  de  lox  xcrviciox  coo  cl  flu 
de  que  xc  puedan  haccr  rexervas  por  medios  informiticos  para:  compaiUas  de  line** 
adreax,  xcrviciox  hotclcros.  compafiiax  de  alquiler  de  cocliex.  mayorixtax  de  viajex. 
Borislav,  y  un  largo  etcetera  Extox  provecdorcx  pueden  exiar  dirccumenic  ccoectadM 
o  no.  pero  xu  informacidn  xi  debe  caar  en  la  base  de  datox  de  AMADEUS. 

Por  lo  tanto  AMADEUS  contrau  xcrviciox  de  proeexo  de  datox  y  acceto  a  la  base 
de  datox  de  rexervax  para  cualquier  llnea  adrea  que  extd  adltcrida  a  un  sixttmi 
informitK'o  de  rexervas.  programax  de  vuclox.  dixponibilidad  de  pla/ax  y  tarifax.  al 
mixmo  tiempo  que  gextiona  la  red  de  comunicacioncv  produce  programu 
mfoemiticox  para  la  gcxtidn  de  lax  Agenciax  de  Viajex  y  tambidn  para  la  gestita  de 
todo  cl  sixtema  de  rexervax  a  nivcl  intcmacional. 

IBERIA  reali/a  la  concxido  de  lax  Agenciax  de  Viajex  expaAolax  al  xixtenu 
AMADEUS  pan  que  puedan  re  vers  at  cualquiera  de  lox  productox  ofrecidos  del 
peoxccdor  de  cualquier  pafs.  al  ntixmo  tiempo  que  poscc  xu  propto  xistenu  de  rexervas 
y  red  de  comunscacioncs  para  xux  Oficinax  de  Ventax  y  de  lax  Agenciax  de  Viajex. 
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Li'  Agendas  dc  otros  pafses  poeden  rcservar  productos  de  IBHKIA  en  sistema 
AMADKUS  y  de  cualquicr  otro  provecdor  national  que  lenga  Mi'  product  os  cn  la  base 
de  dalos.  aunque  eudn  concctados  a  otro  m sterna  de  reversal  dads  que  existen 
acuerdo*  comcrciales  enlre  cllos  pan  facilitai  infocmaodo  y  venu  dc  sut  productos. 


23.3.  FACTURACI6N  ENTRE  COHPANiAS  AEREAS 

Kste  trasicgo  de  informacMfci  ex  gratuito.  pero  cuando  sc  realm  u*a  reserva  y  la 
corrcspondicntc  emisidn  del  billctc  para  o(ra  compaAfa  adrea  es  necciario  regularlo 
pwa  que  el  impoitc  rccaiga  sobre  el  autlmko  transpottisu. 

Si  un  pasajero  solicita  information  y  desea  contraur  un  vuclo  con  una  compaftla 
etrea.  por  ejcmplo  Madrid  Londrcs.  y  esc  tnyccto  lo  realm  la  miena.  no  cxi«c 
(xtcncidn  entre  compaAfas. 

Pcro  si  el  vuclo  que  desea  rcuti/ar  es:  Madnd-Nueva  York-llawai-San  Franctsco- 
SWva  York-Madnd,  y  la  compart ia  aCrca  no  puede  cfcctuar  alguno  de  estos  tramos 
por  no  disponcr  de  autori/adOn  pan  reali/ar  esos  vuclos.  cxistc  un  acucrdo  entre  las 
oxuportlas  afreas  de  poder  cmitir  cl  billctc  en  las  lfncas  dc  aqucllas  compaAfas  que  los 
etplotan  comercialmcntc 

Si  a  esio  aAadimo*  que  en  la  ciudad  o  pais  dondc  csta  el  dicnic  rcali/ando  la 
cctnpra  de  sus  vuclos.  no  cxistc  representation  de  la  citada  "impart ia.  v  puede  cmitir 
cl  Nllete  reservando  los  vuclos  entre  tramos.  cn  aquella  compaAfa  qur  si  los  puede 
Ralirar  o  resulte  mejor  por  honrios  o  prccios. 

Supuesto:  Vols  icndo  al  ejcmplo  sc  nos  podia  dar  la  siguiente  casuist ica: 

I  -a  oficina  de  sen  las  de  IBERIA  o  Agenda  de  Viajcs  dondc  compn  cl  billctc  con 
d  logo  dc  csta  compaAfa.  csti  situada  cn  EspaAa  y  sc  utilin  la  concxidn  via  SAVIA. 

Madrid- Nucv  a  York  sc  resersa  y  lo  reali/a  IBERIA. 

Nucva  York- Haw  ai  sc  resersa  y  lo  realm  American  Airlines. 

Hawai-San  Francisco  sc  resersa  y  lo  realm  Carnival  Airlines. 

San  Francisco- Nucv  a  York  sc  reserva  y  lo  realm  Continental  Airlines. 

Nucva  York-Madrid  sc  reserva  y  lo  realm  IBERIA. 

la  suma  total  dc  los  impedes  dc  cada  uno  dc  los  tramos  los  a  bona  htegramente  a 
qiim  cmitid  cl  billctc.  cn  cste  caso  con  cl  logo  dc  IBERIA  y  a  trave.  dc  la  red  dc 
SAVIA.  con  la  resersa  cn  cada  una  dc  las  compaAfas  aCreas  que  cfcctuarfn  cl 
comspondicnie  trayccto  contratado. 
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Ldgicamentc  cada  una  dc  cstax  dcberf  recibir  el  importe  del  trayccto  en  cl  cua!  ha 
sido  transportado  el  pasajero  que  pagd  el  importe  por  su  reserva  y  emisadn  del  billete. 

Aquf  aparccc  el  concept©  del  BSP.  Bank  Sentiment  Plan.  Plan  de  liquiilacida 
Banc  aria,  cuyax  ofkinax  cstAn  en  Ginebra  donde  sc  cenirali/an  lodas  las  opcraooaes 
funcionando  coroo  una  Cimara  de  compensacidn.  Para  elk)  existe  una  feefca 
delerminada.  como  Haute  cada  mcs.  para  hater  llcgar  I  os  imponcs  locales  y 
dexglosados  para  cada  compaAfa  acrea  de  cada  uno  de  k»  hi  lines  emiitdos  y 
real  i /ados  I  .a  distribution  de  los  Proccsos  BSP  cstd  basada  en  rcgulacioncs  dc  IATA, 
Asociacidn  International  del  Transporte  Adrco. 

Para  evitar  cl  fraude.  IATA  faciliu  un  control  numdrico  del  stock  dc  btllctci  que 
sc  adjudica  a  cada  compaAia  acrea  y  Agcncia  de  Viajcx  y  que  sdlo  son  vilidos  pm 
aquellos  micmbrox  axociados  a  la  titada  organiracidn.  sicodo  evta  numeractfa 
intorporada  a  los  datos  del  pasaycro  para  saber  el  billcic  que  se  le  entrega  con  lot 
trayecioi  que  solicitd  y  la  o  las  tan  fas  que  abond. 

Cada  Agcncia  de  Viaje*  incorpora  tu  propio  numero  de  Agencia  IATA  en  la 
emisidn  del  btllcte. 

Esta  informacidn  con  la  que  incorpora  los  datos  dc  la  reserva  cfectuada  figura  ea 
la  base  de  datos. 


23.4.  CODIGO  OE  CONDUCTA  PARA  CRS 

La  Comunidad  Econdmica  Europea  por  mcdiacidn  de  HI  Consejo  de  las 
Comomdadex  Europea*  aprobd.  y  publicd  el  Kcglamento  ndm.  2299/89  de  24  de  julio 
dc  1989.  por.  el  que  sc  cslabtccc  un  eddigo  de  conducu  para  kw  sistemas 
infocmati/ados  de  reserva.  postenormente  aprobd  y  publicd  el  Rcglamento  mkn 
3089/93  de  29  dc  octubre  de  1993.  que  modifica  cl  Rcglamento  mim.  2299/89,  por  el 
que  se  cstaMece  un  eddigo  de  cooducta  para  los  sistemas  informatizados  de  reserva. 

Esta  ultima  modiftcacidn  introduce  concept  os  en  cl  rcglamento  sobre  la 
proteccidn  dc  datos  de  caricter  personal  y  la  prohibtcidn  legal  del  uso  de  la 
informacidn  del  billete  por  los  sistemas  de  distnbucido.  en  este  caso  AMADEUS, 
aplicable  a  los  propictanos  de  los  sistemas  nacionales.  IBERIA. 

El  citado  rcglamento  comunitaho  evtablccc  en  sus  artfculon  4.  6  y  21.  entre  otras. 
lax  siguientes  obligaciones: 


4)  Lo*  Sixtema*  de  Distribocirtn  (CBS's)  dcben  iscgufar  quc  las  facilidadc*  de 
dixlnboodn  cslin  separadas  dc  mancra  clan  y  verificahlc  de  las  facilidadc* 
privadas  de  invenlario.  gcstiAn  y  marketing  de  la  compart  la  o  compartlas 
aCrca*  proptctanas  del  mismo  hsu  separation  debc  *cr  fioca  o  kSgica  por 
medio  del  software  adccuado  y  las  facilidadc*  serin  solamcnte  coriec  tables 
entre  si  por  medio  dc  una  interfaz  entre  amhas  aplicacioncs. 

6)  F.s  nccexario  proteger  los  datos  y  hi  difusidn  tanto  I  os  privados  del  pasajero 
como  datos  comerciales  sobre  las  compartlas  aortas  participantes.  Con 
rcspecto  a  dicha  difusido  sc  establecc  en  concrete  que: 

Los  datos  de  reserve*,  ventas  o  de  marketing  pueden  scr  puestos  a 
disposjcidn  de  todos  los  participantes  con  la  condicido  de  que: 

•  No  xc  incluyan  datos  personates  de  lo*  pasajero*  o  entidades. 

•  No  cxista  disenminaodn  entre  el  doerto  del  ustema  con  rcspecto  a  Ion 
participantes  en  lo  que  se  reficre  a  la  prontitud.  el  mdtodo  de  tranxraixidn. 
la  calulad  de  la  misma.  el  precio.  las  coodkione*.  etc. 

El  CRS  debe  garanti/ar  quc  las  mcncionadat  facilidades  se  cumplen  por 
medio*  tdcnicos  que  tengan  la*  salvaguardas  aproptadas  en  cuanto  at 
software  Milindo 

El  CRS  debc  garantizar  que  el  dueAo  del  si  sterna  no  puede  acccder  a  la 
informncidn  suministnda  o  creada  para  los  derail  participantes. 

21)  El  ctimplinucnto  dc  los  requerimiento*  tdcnicos  meocionados  debc  ser 
auditado  por  einpresas  indcpcndicntc*.  por  lo  me  nos  una  vez  al  arto. 

Dado  que  IBERIA  tiene  subcontratado  por  A.MADEUS  cl  ustema  de  reserva  y 
ennidn  de  btllcte*.  es  por  tanto  susceptible  de  pasar  la  auditoria  correspondiente  con 
d  fin  de  vcrificar  la  neutralidad  dc  AMADEUS  en  *u  irea  de  responsabilidad. 

Al  poseer  los  datos  de  los  btllctcs  dc  todas  la*  compartlas  que  *e  emiten  por  cl 
uterna  inform itico  de  IBERIA,  aunque  no  se  participe  en  el  itinerario  del  mismo.  hay 
qoc  presentar  toda  la  information  nccesaha  que  demuestre  que  no  se  hace  uso 
ccmrrcial  de  die  bos  datos  ni  se  den  sen  pricticas  que  altcren  la  libre  competence. 

Al  mismo  tiempo  presentar  lo*  procedimientot  actuates  y  la  descripcidn  deullada 
de  los  mismo*  asf  como  la  apkcacidn  de  todas  las  salvaguardas  ncccsarias  para  que  en 
d  sistema  informitko  dc  IBERIA  sdlo  *e  pueda  acccder  a  los  datos  de  otras 
cempartias.  para  proportion ar  la  infonnackio  ncccsaiia  al  BSP 
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C'Odigo  dc  Conducts  para  los  Sistcmas  Informali/adot  de  Reserva*  menciona  que 
lot  sistcmas  dc  reserva*  dc  vuclo  informalizados  c*tin  obligadot  a  pa  tar  una  auditor!* 
anual  que  pucde  afectar  a  cualquicr  cniidad  qoc  forme  pane  dc  dlcho  sistema. 

En  cuanto  a  lot  daios  dc  carictef  personal.  la  bate  dc  Jato*  dc  rcservas  del 
sistema  AMADEUS  en  Alemania  sc  encucmra  registrada  segdr  la  Ley  dc  protcccifa 
dc  daios  federal  alemana.  c  igualmente  la  corTCspondicnle  a  IBERIA  en  la  Agenda  de 
Pro«ecci6n  dc  Daios  dc  EtpaAa. 

En  cuanto  a  los  proccdimientos  de  acccso.  rectification  y  cancclacidn  a  los  Anns 
perso  rules  recogidos  en  el  s« sterna  de  rcservas.  tal  y  como  aparecen  en  la  Ley 
Orginica  5/92  dc  29  de  octubrc.  no  esiin  definidos  en  AMADEUS  por  carccer  dichi 
cniidad  dc  la  poscsidn  y  control  sobee  dicbos  daios.  No  obstante,  cualquicr  ciudadaoo 
pucde  acceder  a  sus  daios  de  reserva  a  travds  dc  la  Agenda  d;  Viajes  en  la  coal  se 
cfcctuo  diclu  reserva  o  a  travds  dc  las  compaAfas  adreas  qoc  iparccen  en  la  rrusnu. 
por  mcdios  informatirados. 

Esto  es  motivado  por  el  sistema  transacoonal  de  la  aplicac  On  en  uempo  real  que 
adjudica  la  propteslad  de  los  daios  a  la  Agcncia  de  Viajes  que  rcali/d  la  entrada  de 
daios  quicn  none  el  coniacto  personal/comcrcial  con  cl  pasacro.  Es  una  medida 
adicional  de  segursdad  aplis able  poe  todas  las  compaAias  adreas  para  asegurar  el 
negocio  de  las  Agcncias  dc  Viajes  y  dc  la  seguridad  de  la  rcsena  del  peopio  pasajero. 
evitando  la  poubslidad  de  cualquier  divulgaciOo  y/o  modification  en  los  daios 

la  obtencidn  de  cintas  magndticat  cuy a  informacida  es  de utilidad  para  ptoccsos 
de  esladistica.  csli  sujeta  al  artkulo  6  del  COdigo  dc  Conbicta  dc  CRS  Ver 
bibliografia.  Rcglamentos  de  la  Comuntdad  EcooAensca  Europca.  numeros  2299/89  y 
3089/93. 

Asimismo  mnguna  de  las  empresas  del  sistema  AMAD2US  comercialira  lot 
datos  personates  del  sistema  dc  resers  as 


23.5.  PROCESOS  INFORMATICOS 

Las  aplicacionet  informiticas  a  las  que  se  les  practica  la  auditor!*  son  dot, 
proccsindose  en  ptatafoemas  informSticas  dilercntes 

Proeeso  TICKETINti.  Dctanollado  para  grande*  ststemas  UNISYS.  Bajo  cue 
nombre.  y  para  no  compltcar  coo  nomenclaturas.  vamos  a  reunir  las  numerosas 
aplicacioites  que  componen  la  information  dc  vuelos.  reserva  ce  pla/as  y  ctmuOo  de 
billctcs  ademi*  de  los  procesos  de  idcntificacidn  dc  usuanos  y  lerminalcs  y  la  gestko 
de  la  red  de  comumcacioocs. 
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Estc  proccso  comicnza  por  la  solicited  dc  la  Agcncia  dc  Viajcs  o  CompaiMa  aerca 
dc  la  solicited  dc  lot  vuckw  para  un  irayccto  detcrminado,  hornnos  dc  lot  nutmot. 
dsponibilidad  dc  plazas,  divcrsat  lari  fat.  rcscrva  dc  trick)  y  asicnto  coo  tu  dcfinitiva 
confirmacidn  en  la  emirido  del  billctc  para  cl  clkMc. 

IBERIA  facilita  la  oponuna  informackki  y/o  conccla  a  b  Agcncia  dc  Viajcs  coo 
cl  tistema  AMADEUS,  que  potec  adem&s  un  compuudor  cxclusivamcntc  p>ara  cilculo 
dc  tarifat.  devolvicndo  la  infocmacidn  complcta,  facililando  la  oponuna  enusidn  dd 
billrtc  y  el  imponc  a  abonar. 

I  -»  teguridad  dc  b  apltcacidn  c%i.i  basada  cn  cl  SIGN-IN  faciliiado  a  la  Agcncia 
dc  Viajcs  en  cl  memento  dc  la  contratacidn  comercial  del  tcrvicio.  Etta  cootratcAa 
pcrmitc  idcntificar  tanto  a  la  ofleina  dc  ventas  y  a  tut  tcrminalet  como  a  lat 
funcionalidadct  atignadar  pun  la  rcali/acidn  dc  las  detenninadas  trantaccioncs  que 
rsti  autorizado  a  utilizar.  igualmcnic  sc  guarda  la  identiflcacibn  pan  que  sdlo  esa 
Agcncia  y  no  cualquicr  otra  con  t ign  in  difcrcntc.  pueda  modilkar.  climinar  o  aAadir 
dot  os  ul  registro  crcado  cn  la  base  dc  daiat  para  la  rcscrva  y  cmittdo  del  billctc  del 
patajero. 

La  informacidn  del  billctc  confirmado  >  ccrrado  sera  utilizada  para  rcalizar  cl 
(heck-in  cn  cl  acropocrto  cn  cl  momento  cn  que  cl  pasajero  embarque  al  avtdn. 

Toda  la  informacidn  correspond  sente  al  billctc  cs  manlcnida  cn  b  bate  dc  dates 
lusu  que  cl  pasajero  hayu  reali/ado  cl  Oltimo  tramo  que  figura  cn  cl  mitmo.  momento 
cn  que  seri  copiada  a  ctntat  magnificat  pan  usot  cstaditticos  y  conscrvacidn  dc  tipo 
legal  y  boeroda  del  tistema. 

Lot  dates  contablcs  son  tnspasados  al  sistema  IBM  via  hyperchannel. 

Proccso  BSP.  Dcsamillado  pura  grander  tistemas  IBM.  Ian  dates  ccondmicot 
del  billctc  dc  vuclo  ton  tratados  en  procctot  dc  facturacidn  y  administration  com  able 
)  dc  prcpancidn  para  ter  remitidot  al  Centro  dc  compcnsacidn  para  la  factuncidn 
entre  cocnpaAfat  aireat. 

Existc  una  empreta  nacional  dc  BSP  que  redne  lot  dates  corrctpondicntct  dc 
IBERIA  mcdiantc  proccso  dc  captacidn  dc  b  information  poc  medio  dc  trantmitidn 
dc  archives  y  umb-.cn  dc  las  otras  compoAios  a^rcas  nacionalet  y  agendas  dc  viajc 
pm  ter  tnnsfendos  al  centra  dc  compcnvaci6n  cn  Gmebn. 

La  transmiudn  dc  ester  archives  sc  formalize  mcdiantc  contnto  cxigicndo  todar 
htmedidat  dc  reguridad  neccsanar  y  dc  acucrdo  con  la  Icgirbcidn  nacional  vigente  y 
b  ao  tfavulgacidn  dc  lor  dales  comcrcialer  dc  las  comparUar  parlicipanter. 


www.FreeLibros.me 

540  AlUMTOWlA  IVKHtMAnCA  IN  FNtOQtT  PtUCltCO _ 


las  mcdidax  de  protection  vicncn  dadax  pot  cUvc  User-Id  asignada  a  pcrsoeut 
xigmfieadas  unicumcntc  coo  autorizacidn  dc  Icciura  para  los  archisos  dctcrminados. 
con  lo  cual  la  confide  twialidad.  divulgactbn  y  no  manipulactdn  dc  la  informacidn 
quoda  ascgurada. 

Ixm  dal  os  5c  rcspaldan  cn  cintas  mag  opticas  mcdiante  ptciccsos  backup  xicndo 
cuslodiadas  cn  un  cciuro  off-tile  duranie  cl  pertodo  legal  cxigido. 


23.6.  AUDITORfA  INFORMATICA 

Anualmetttc  sc  rccibc  la  visila  de  audilores  que  cn  cumplimienlo  del  Reglatnento 
Comumtario  sobre  Cddigo  dc  Conducia  dc  CRS,  vicncn  de  Alemania.  sedc  del  siMema 
AMADEUS  para  reali/ar  mis  trabiajos  rcspcclo  a  los  proeexox  scAalado*  cn  el  pu«o 
anterior.  El  cumplimienlo  de  exu  auditocia  ex  obligado,  y  cn  caso  del  no  cumplimiento 
dc  lo  csiipulado  cn  los  anfculos  del  rcglamenio  sc  podrfa  cancclar  cl  contrato  de 
scrvkio  eirtre  amhas  empresas. 

la  finalidad  de  la  audilorfa  n  dcleclar  posiblcs  dctviacioncs  para  asegurar  la 
conccta  o  incorrccu  funcidn  neutral  en  la  cmisidn  del  billeie  pot  pane  dc  IBERIA 
como  vubconiratado  dc  AMADEUS,  asf  como  asegurar  las  apropiadas  salvaguardas. 
comO  lo*  pnvcdinncntos  interno*  y  las  medidas  de  segurtdad  conforme  al  Rcglameeto 
de  la  CEE  nuin.  2299/89.  dc  24  dc  julio  1989  y  Rcglamenio  CEE  ntlm.  3089/9?.  de  29 
de  octubrc  1993.  por  el  que  sc  csiahlccc  un  Cddigo  dc  Conducta  pura  los  sisicmas 
informaii/ados  dc  reservax  y  los  requerimientos  de  AMADEUS  incluidos  cn  el 
conlrato  con  la  uibconiraiacidn  dc  sctvicio*  dc  Ticketing  con  IBERIA  cn  cuanto  a 
infomtaetdn  al  clicnic.  calidad  dc  los  scrvicios  y  confidcncialklad  sc  rcficrc. 

Breve  dc  stripe  kin  dc  los  scrvicios  dc  sisicmas  dc  informacidn  que  facilila 
IBERIA 

•  En  general  como  operador  aerco.  cl  transportc  dc  pasajeros  y  carga.  scrvicios 
en  acropocrtox  y  opcracioocs  de  suelo. 

•  Kn  particular,  dexde  el  ceniro  dc  proccso  dc  datos  dc  Madrid,  ofrece  xixtetnas 
dc  invcniario  (m  for  mac  ton  dc  vuclos.  plazas  disponiblcs.  tarifas).  cmisidn  dc 
billelcs.  seguimiento  dc  equips je*  y  operaciones  de  carga. 

•  Existcn  compaftfax  alrcax  conecladas  al  xisiema  informaiizado  de  reservas  de 
IBERIA  con  invcniario  privado  y  emisi6n  de  billelcs. 

•  La  informacidn  del  billeie  comistc  cn  daiox  del  pasajero  e  informacidn  del 
vuclo.  larifa  del  mismo  y  forma  dc  pago.  que  pueden  scr  impresos  cn  la 
Agenda  de  Viajes  conieniendo  oirox  daiox  dc  segurtdad  como  cl  niimcro  <fc 
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control  del  billete.  control  dc  'lock  del  billete  de  informacitSn  para  el  BSP. 
Todo  ello  para  la  cmiaidn  del  billete  de  vuelo. 

Estnulura  Si  sterna  Informati&do  Re  sen  as  de  IBERIA 


El  primer  paw  despucs  dc  preparar  la  agenda  dc  cntrcvistas  con  los  auditore*.  ex 
rccibtr  en  IBERIA  un  cuextionano  vobre  determinatin'  pecgunlas  que  dcbidamcnic 
cwnplimemado  y  comcntado  se  les  luce  entrega  cl  d<a  dc  la  visita. 

Eata*  pregunu*  sc  concrctan  cn  cuatro  apanadoa: 


A)  Didos  personate* 

-  Noes  as  inscripcioocs  de  archivos  cn  la  Agcncia  dc  Protcocidn  dc  Datos.  desde 
la  Ultima  auditor! a  realuada. 

-  Realizacidn  de  auditorfax  interna*  o  externaa  cooccmicnles  a  la  seguridad  y/o 
pn  vaodad  dc  loa  datos. 

-  Si  fue  intema.  cuilex  fucron  loa  rcaultadoa. 

-  AparicitSn  de  nuevaa  regulacioncs  internas  aobre  confidcncialidad  o  manejo  dc 
Im  datos  de  carlctcr  personal  o  dc  la  cotnpaAfa. 
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-  Apancidn  dc  vioUooocs  concern  icnlcs  a  la  privacidad  de  lot  dato*  de  carfeter 
personal. 

-  Rcclamaooocs  dc  compaAfas  alrcas  retpecto  al  manejo  de  sus  dates. 

-  Rcclamacionct  desde  otras  compaAfas  acrcas  a  lot  servicios  de  IBFRIA 

-  Reclamations  desde  otras  compaAfas  aCrcas  a  lot  servicios  de  billctajc. 

Bl  Datot  RSI* 

-  Si  tc  ha  incorporate  alguna  nueva  compaAfa  adrea  que  '.enga  tu  invenuno  c* 
la  hate  dc  dal  os  de  IBERIA  desde  la  ultima  auditor  la  realizada. 

-  Si  cMo  obligd  a  modificaciooet  en  las  apiicacione*. 

-  Si  hubo  necetidad  dc  adaptaoooes  en  lot  tittemat  mformdtico*.  en  d 
software,  en  lot  proccdimientot  o  en  la  organiraodo. 

-  Si  x  han  incorpocado  nuevat  rcglas  de  BSP. 

-  Si  han  aparcodo  nuevos  mere  ados  en  el  BSP. 

-  Si  han  aparccido  nuevat  versionct  dc  BSP. 

C)  Otrut  modiflcaciooes  y  rambios 

-  Cambws  en  la  politica  de  segundad  de  IBERIA  desde  la  ultima  audilorfa 
reali/ada. 

-  Cambio*  en  la  politica  dc  rcspaldo  y  salvaguardadc  la  informacidn. 

-  Cambios  en  lot  tittemat  de  segundad  >  configuraooocs  en  kvs  sistcrrus 
informdticot  de  cada  una  de  las  plataformas 

-  Cambio*  hardware  y/o  de  tittemat  operatives  en  cada  una  de  las  plauformas. 

Cambios  en  la  organi/acido  separando  responsabilidadet  desde  la  likitta 
auditoha  rcalizada. 

•  Entre  Dctarrollo  y  Etplotacidn. 

•  El  gnipo  de  dcsarrollo  de  U  aplicacido  Ticketing  manticnc  las  imsmu 
responsabilidadet. 
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Dl  Documentation 

-  littados  dc  los  pcrfilcs  dc  segundad  de  los  archive  corrcspondientcs  a  los 
proccsos  BSP  y  de  los  usuarios  que  coin  autori/ados  a  su  acccso  y 
traumiciMo. 


Por  su  parte  los  auditores  tnstalan  proccdimicntos  y  medidas  admintstrativas 
d  fia  dc  ascgurarsc  la  seguridad  cn  k*s  datos  del  btllcic.  cubncndo  la  scparacidr 
«ros  wrviCMM  y  principal mcnie  de  cualquier  funcidn  de  insentario.  entendicndo 
AMADEUS  facilita  los  (memos  concept  os  a  todas  las  conipartfas  atfreas  confonne  sc 
AtulU  a  continuacidn: 


tiubltcimifnio  de  Ftujo  de  tntbajo 

Entrevistas  con  lodos  los  mponsaMcx  de  Us  Areas  de  la  aplicacidn  Ticketing  en 
orden  a  confirmar.  complelar  o  coeregir  las  medidas.  proccdimicntos  y  coniroles 
ooblccidos  pomendo  un  mayor  Infasis  en  los  aepecios  dc  seguridad. 


hoeedimientot  de  audiiorla 

Esiin  basados  en  la  scporacidn  organi/acional  y  en  la  documcMactdn  solicitada 
cm  aiucriohdad. 

Otro  enfoque  ha  cstado  bosado  principalmentc  en  la  implantacidn  de  medidas  y 
proccdimicntos  dc  seguridad  y  sus  coniroles  disthbuydndolos  cn  temas  como: 

•  Seguridad  l-'isica. 

•  Sistrmas  dc  segundad  e  integridad. 

•  Medidas  dc  seguridad  cn  las  Apltcac  tones  y  sus  datos. 

•  Segundad  cn  el  dcsanollo  dc  la  Aplicacidn. 

Stgvridad  Fisk  a 

Se  anali/an  los  siguientes  puntos: 

-  Centred  de  accesos  al  cdificio  del  Centro  Proceso  de  Datos. 

-  Acccso  a  las  diferentes  Areas  sdlo  por  personal  auton/ado.  y  de  visitantes. 

-  Acccso  a  la  saU  de  coenputadores  u  otras  dcpcndcncias  critic  as. 

-  Registros  cn  libros  dc  entradafcalida  e  inspeccidn  dc  bultos. 


s  »l 
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-  Control  dc  cntrada  y  talida  de  vehlculot  de  la  /ona  y  ui  rcgittro. 

-  Control  Area  \ummi\tro  dc  cncrgia.  airc  acondicionado  y  oUw  very  root  per 

medio  dc  CCTV. 

-  Centro  off-site,  para  almaccrumicnto  y  cuuodia  dc  c  in  tat  nugnCtKay  y  h 

control  e  idcntificacidn  1-iUax  dc  personal  ant  on/ado  y  *u  aulon/actda. 

Sitiema  dt  Srguridad  t  Imegridad 

Sc  analiran  lot  tiguientet  puntot: 

-  Acccto  a  lot  Siacmat  Informiticot  UNISYS. 

•  Control  dc  acccto  a  la  aplicacidn  Ticketing.  mediantc  tdcntificacidn  dd 
utuario  y  autorizacidn  dc  conexido  al  titacma  mformkitco  corrctpondicaic 
que  Irene  la  aplicacidn. 

•  Control  de  acccto  del  terminal  idcntiftcado  cn  cl  toftware  del  from-eed  de 
comunrcaoones  y  cn  tahlat  del  uvtema  operativo. 

•  El  terminal  y  U  conexido  fbica  ctldn  previamente  definition  cn  uMas  coo 
acccto  protegido. 

•  Sc  define  a  coil  aplicacidn  de  Ticketing  se  autori/a  al  terminal  a  conectanc 
defimdo  cn  tablxt  con  acccto  protcgido. 

•  Fatot  tipot  de  acccto  tdlo  cm  in  permitidot  via  irantaccionct  cn  tieepo 
real  coo  funciorulidadet  prcdctcrminadav  cn  la  aplicacidn. 

•  Una  aplicacidn  no  puede  lencr  acccto.  lectura  o  modificacidn  cn  otn 
aplicacidn  ti  no  etti  previamente  autorirada  o  reqocrida  per  a 
furrcionalrdad. 

•  El  uuiano  accede  a  la  aplicacidn  mediantc  Sign- in.  cl  cual  ct  dnico  pin 
eta  Agcncia  dc  Viajet  u  OTicina  de  Ventas  de  IBERIA. 

•  El  acccto  via  tittema  convcrtacional  rcquierc  un  Logon  dc  entrada  mis 
Utcr-ld  y  Password. 

•  Exttic  aoditoria  dc  i  men  toy  dc  viotecido  y  control  dc  accctot. 

•  El  acccto  a  lot  dalctt  mMo  ct  potible  via  autorizacidn  dc  la  aplicacidn. 

•  F.xistcn  terminakt  autonradot  para  cmrar  cn  tittema  de  emcrgercu. 
atignadot  al  personal  tecnico  para  la  rctolucidn  dc  problcinat. 
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-  Acvevo  a  lot  vi  sterna*  mformitico*  IBM. 

•  Lot  terminate*  autonzado*  de  accc*o  al  udema  mformktic*  qoe  contiene 
la  aplicacion  e*tin  deftnido*  en  el  software  de  la  Unidad  de  Control  de 
Comunicaciones  y  cn  la*  tabla*  del  sistema  operative  MVS.  dcbidamente 
protegtdos. 


•  l-.l  aec e*o  al  *i*tema  evti  controlado  por  U*cr-id  y  Password 

•  Exiucn  regia*  de  acce*o  a  la*  aplicacione*  por  proteccidn  y  tipo  de  acceso 
a  lo*  archivo*.  asignacidn  de  facilidade*  al  uuiano 

•  Exuae  auditoria  de  violacidn  y  control  de  acceso* 

•  la  vegundad  cvn*i*te  en  identificacidn  de  u*uario  y  %u  venfraodn.  control 
de  acceso*  y  auditoria  guardando  *u*  re*ultado*. 

•  Se  a*egura  que  una  apltcacidn  no  puede  acccder  a  datot  de  otra  aplicacidn 

•  lixisten  terminale*  autonzado*  para  entrar  en  *idema  de  etnergencia 
a*ignados  al  personal  tdcnico  para  la  rrxoluodn  de  problcmai 

•  Todo*  lo*  data*  de  contabilidad  prepurado*  en  la  platafomu  UNISYS  por 
la  apticacidn  Ticketing  son  transfendos  a  la  plalaforma  IBV  por  medio  de 
tranvferencia  de  archivo*  y  quedan  almaccnado*  debrdamcnic  protegido* 
por  el  prodocto  de  icgundad  indalado  cn  dicha  plauforrru.  Ante*  dc  la 
tranvferencia  von  manejado*  por  proccvo*  hatch 


Utdukii  de  te funded  de  lot  Aplicottemet  y  an  datot 

Se  anal  iran  lo*  viguicnte*  puntos: 

•  La*  definiCKjne*  de  vegundad  de  la  aplicacidn  von  coordnada*  por  lo* 
re*pon*ablcx  de  AMADEUS.  IBF.RIA  y  SAVIA 

•  SAVIA  define  la  vegundad  de  accevo  de  la  Agencia  de  Viajes  a  la  Aplicacidn 
Ticketing  y  lo  comunica  a  IBERIA  para  *u  inclwudn  en  lo*  sisterva* 
mfonnitico*  Incluyc  defmicidn  del  terminal.  Sign-in  en  la  Aplicaodn  con 
*u*  funcionalidade*  y  autonzactonev.  y  la  identificacidn  del  terminal  dc  la 
Agencia  de  Viaje*. 
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-  Control?*  dc  acccso  a  la  aplicacidn  Ticketing: 

•  El  acccso  a  la  aplicaci6n  e»  controlado  por  la  KlcMilicacxSn  del  terminal  a 
comtin  con  el  sign-in.  Estts  cspecificacioocs  estin  contcnidat  cn  tabla*  de 
la  aplicacidn. 

-  Control?*  dc  acccso  a  la  aplicacidn  dc  otra*  Comportfa*  adrcat: 

•  El  control  de  acccso  del  terminal  a  sus  aplicacioocs  cstd  cn  base  a  las 
auton/acione*  asignada.*  al  terminal.  Por  ejempkt.  puedc  impcdu  el  accew 
a  otros  programs*  dentro  dc  la  aplicacidn. 

•  Acccso  rcstnngido  a  transaccionc*  que  facilitcn  la*  tanfos  y  el  ndraero  dt 
control  dc  stock  del  hilletc 

•  Rcstnngir  el  acccso  a  aplicacione*  inventario.  (informacidn  de  vuelot. 
diiporabilidad  de  axientos  y  tarifas),  detde  terminalc*. 


-  Control  dc  concctividod  a  otros  xcrviciot  basado*  cn  xistema*  remote* 


La  aplicacidn  tambidn  controls  la  concctividad  a  otro*  Mstcma*.  incluyendo 
lo*  protocols**  de  comunicacidn. 

Acccso  a  aplicaciones  basadas  en  civtcma*  remote*,  estin  dcfinxU*  en 
tabla*  que  ctpccificsn  el  corTespondicnic  programs,  aplicaciooes 
permitida*  y  la*  interface*. 

Acccso*  del  terminal  a  la*  aplicacione*  remota*  son  controladas  por 
programs*  de  la  aplicacidn  Ticketing  y  llevan  cl  isienti  Picador  del  temurul. 


-  Control  de  acccso  a  *u*  base*  de  date*: 


•  Los  acccso*  a  la  informacidn  de  las  bates  dc  date*  estin  garamirado*  por 
km  programs*  >  trantaccione*  controladas  por  la  aplicacidn  Ticketing, 
definidas  las  relacioncs  entre  date*  y  programs*  cn  tabla*. 

-  Control  de  acccso*  a  Miltdadcs: 

•  Ixw  acccso*  a  utilidades  estin  deflnido*.  controlado*  y  msntenidos  por  U 
identifK'acidn  del  terminal  en  tibia*,  siendo  el  gmpo  dc  desanollo  de  li 
aplicacidn  el  dnico  autorirado  pars  ello. 

-  Control  dc  obtcncidn  dc  rcspaldo  dc  las  bases  de  dal  os  y  programs.*  de  li 
aplicacidn: 

•  Sc  asegura  mediantc  la  realiracidn  de  procedimiento*  con  perfodx 
determinados  dc  acuerdo  con  norma*  dc  scgvridad  publicada*. 
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•  La*  cinla*  magnflica*  obtenida*  son  custodiadas  cn  centra  cff-sitc. 

-  Control  de  Soponc  (Help  Desk)  en  SAVIA: 

•  HI  puMo  de  entrada  para  la*  Agendas  de  Viaje  conectida*  a  SAVIA 
funciona  en  do*  nivelcs  de  xoporte. 

•  El  primer  nisei  de  soponc  lo  facilita  SAVIA  desde  un  punto  de  vista 
fuociooal  y  tdenko.  Incluye  la  comprobacidn  del  enlorno  de  la  Agenda, 
conto  puede  ser  cl  hardware.  coofiguraeiOn.  software  y  concctivnlad 

•  El  segundo  nivcL  si  con  el  primer o  no  sc  rcsuelvc  el  problena.  es  facilitado 
por  SAVIA.  y  es  el  personal  trirnko  de  IBERIA  come  soponc  de  la 
aplicacidn  Ticketing  cl  cncargado  de  la  resoluciOn.  Este  gnipo  es 
responsible  del  mantenimiento  rclatiso  al  dcsatTollo  sle  la  aplicacidn. 
incluycndo  toda  la  configuracidn  >  tibia*  de  scguhdad. 

•  SolameMC  lots  terminate*  inslalado*  cn  Help  Desk  estin  permitido*  para 
usar  csta*  facilidadc*.  esto  se  asegura  utilt/ando  las  tab  la*  de  identificacida 
de  lo*  terminate*  via  la  definicidn  de  tablas  de  configuracidi  en  cl  software 
de  comuntcacwocs. 


Seguridad  cn  el  dcsarrollo  de  la  Aplleacidn 

•  El  dcsarrollo  de  la  apticacidn  Ticketing  y  tus  f undone*  pcrtcnecc  a 
AMADEUS,  porque  e*  un  product o  basado  pnncipalmentc  en  el  psiquetc 
estiodar  de  la  casa  UNISYS  para  su  aplkackn  en  linea*  afreas 

•  El  grupo  de  dcsarrollo  de  IBERIA  ticnc  la  responsabilidad  de  integrarlo  y 
probar  lo  cn  la  plataforma  UNISYS. 

•  Eaiste  separation  de  entomot  de  Dcsarrollo  >  Expkxactdn  con  procedi miento* 
y  norma*  muy  concreta*  y  segvra*  para  el  pasc  a  cxplotaodn  Je  programas  y 
*us  modiricacione*. 

•  Los  cambios  para  la  aplkacidn  de  contabrlidad  y  facturaciOn  cn  la  plataforma 
IBM  son  iniciado*  por  IBERIA  o  por  la  Cdmara  de  compcnsacifa  BSP. 

•  El  desanollo  de  lo*  programas  necesanos  son  probado*  cn  ertorno  seporado 
en  coopcraciOn  con  la*  autondadcs  del  BSP. 
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23.7.  CONCLUSIONES 

Probiema  t 

•  F.\  nccesario  un  seguirmcnto  «Jc  la  leglUacidn  national  e  international  to 
maieria  sic  la  factuncidn  cntrc  compodfas  adreas  BSP  para  la  adaptacidn  Je  las 
aplitaciones  a  Ml  tonlenido. 

•  Dejar  bien  tlaro  en  los  aspects'*  contractual  con  lac  Agendas  de  Viajet  y 
C ompa/Uas  adrras  qoe  se  incorporcn  a  la  base  dc  datos  de  IBHRIA  In 
obligacismcs  y  retponsabilidades  de  cailu  pane  segun  la  legislacista  nacicaal  e 
international. 


l-*%  nuevas  tecnoiogias  pueslen  hater  vanar  las  aplitaciones  actuates,  como 
por  cyemplo  la  senu  del  billete  elettrdnico  y  sobre  todo  las  ventat  por 
INTERNET,  lo  qoe  obligaria  a  lomar  medxlas  de  seguridad  adicionales. 


SoUxUrnet 

•  lass  aplitaciones  deben  control ar  fuenementc  la  tdentificact6n  de  los  clieMts. 
lo  qoe  hard  sariar  y  ampliar  el  desanolki  por  el  mundo  INTERNET  cm 
nuevas  soluciones  en  matena  de  seguridad.  lo  qoe  a  su  se*  obligor*  a 
desarrollar  nuevas  mclodologias  en  cl  mundo  de  la  aoditoria  infocmilica. 


23.8.  LECTURAS  RECOMENOADAS 

a)  Reglamento  de  la  Cotnunidad  Etondmica  Europea  mim  2299/89.  de  24  dr 
julio  dc  1989.  por  el  qoe  se  csublecc  un  eddigo  de  conducta  para  los  stsiemu 
tnformaii/ados  de  reserva  Dtario  Qfictal  dc  las  Comunidadcs  European 
L-220.  29  de  julio  de  1989 

b)  Reglamento  dc  la  Comunidad  Etondmica  Europca  r.um  3089/93.  sic  29  de 
octubrc  tie  1993.  que  modifica  cl  Reglamento  de  la  Comunidad  Econdnuca 
Europea  nsim.  2299/89  por  el  qoe  se  establecc  un  eddigo  dc  conducta  para  kn 
sistemas  informatizados  de  reservas.  Duno  OTicial  dc  las  Comumdades 
Europeas.  L-278.  1 1  de  noviembrc  de  1993. 

cl  Informe  de  la  Coouvidn  de  las  Comumdades  Europeas  al  Cornejo  sobre  la 
aplicacidn  del  articulo  4  bis  y  d  apartado  3  del  articulo  6  del  Reglamento  dc  b 
Comunidad  Etondmica  Europea  nsim.  2299/89  del  Consejo  en  su  serado 
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modi  lie ada  por  el  KegUincnto  per  el  que  sc  estaMccc  un  eddigo  dc  conducts 
para  los  sistemas  informatirados  dc  reserva.  Brusclas  07.03.  IW. 

23.9.  CUESTIONES  DE  REPASO 

1.  NYwnbrc  algunos  sistemas  dc  icscivas  que  cono/ca 

2.  iQudes  AMADEUS? 

3.  iQut  (ipo  dc  traiamicnlo  dc  la  infonnacidn  sc  necexita  para  un  viajc  con 
diservas  escalas  cn  Us  que  cl  pasajero  cambia  dc  compart  (a  adrea? 

4.  j.Cdmo  afccla  la  LORTAD  al  sector  adreo? 

$.  i A  qsk  aplicacioncs  principals  sc  les  hacc  auditorfa  cn  cl  sec  or  atreo? 

6.  Descnha  los  servicio*  dc  sistcmas  dc  informacidn  que  facilita  una  compartfa 
como  IBERIA. 

7.  iQot  aspectos  sc  anali/an  cn  cuanto  a  la  scguhdad  c  integndad? 

8.  iCuikx  son  las  inedidas  dc  seguridad  dc  las  aplicacioncs  y  sui  datos? 

9.  ^Cuiks  son  los  problcmas  dc  adsptacidn  dc  legist  ucidn  intcrnackmal  cn 
materia  dc  facturaci6n? 


10.  iQu (  nuc v  os  nesgos  entrarta  la  senta  del  bilkte  ckcudnico  a  travds  dc 
Internet? 
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AUDITORIA 

INFORMA  T1CA  F.N  I,A  ADMlNISTRAClPN 


Victor  lufuirriio  Loyola 


24.1.  INTRODUCCIdN 

Conttituy  e  un  juicio  de  valor  general  mcntr  acepudo  deeir  que  lat  Tcvr*4.>gia\  dr 
U  Information  y  de  lat  Comumcacionct  (TIC)  k  Kan  vmido  uili/ando  cn  la 
Adminittracidn  etpaAola,  desde  lot  irnciot  del  proceto  de  "mccanizacrifT  cn  lot  aAot 
Kteiua  hatia  emrada  la  ddcada  de  lot  novenu.  para  mejorar  mi  funcionaimento 
uasrmo.  dejando  de  lado  (talvo  en  excepcionet  que  coofimun  la  regia)  tu  apJicacidn  a 
lit  relacione*  de  la  Adminittracidn  coo  ciudadanot  y  emprexav 

E\te  juicio  de  valor  e»  compartido  por  el  legitlador  en  la  Ley  301992.  de  26  de 
aottcmhrr.  de  Regimen  Juridico  de  la»  Adminittracionet  PiMicat  y  del 
Proccdmuerno  Adminittralivo  Corwin  (LRJ-PAC).  evando  en  la  Expotictdn  de 
■otivot  dice: 

'Las  nuevat  comemet  de  la  ciencia  de  la  organiracidn  aportin  un  enfoque 
adKiorul  en  cuanto  mccamuno  pan  garanti/ar  la  calidad  y  trantparencia  de  la 
actuation  adminitUalita.  que  configuran  difercnctat  suslanculet  entrr  lot  etcenanot 
de  1958  y  1992.  La  Ley  de  Proecdmuemo  Adminmnmvo  de  1958  prctcndiO 
Bodenu/ar  lat  arcana*  manerat  de  la  Admimttracidn  espoflola.  pmpugnando  una 
raoooali/jciOn  de  lot  Irahjjo*  burocrilko*  y  el  empleo  de  miquinat  adecuadat  con 
>Wi  a  impUntar  una  progretiva  mecamzactOn  y  automaiitmo  en  lat  ofcinat  pdblicat. 
uernpee  que  cl  tolumen  de  trahajo  haga  ccooOrwco  el  empleo  de  etlot 
■procedmucnroT  l-.Mc  plaMearmenlo  tan  limilado  ha  dificultado  d  que  la  infor- 
nofazacidn.  toporte  y  tejido  ncrvioto  de  lat  relaoonet  tocialet  y  rcoodnucat  de 
Mcttn  dpoca.  haya  teniido  hatu  ahon  mcidencu  uiuaniivo  en  el  procedimtrnto 
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adminixiralivo  por  fall*  dc  recooocimiento  formal  de  la  validez  de  documentos  y 
comunicacioncx  emicidox  por  dicha  via  El  cxcraordinario  avance  experimeniado  en 
nocxtrax  Admmisiracioncs  PtiMicax  cn  la  lecniftcacibn  dc  sus  mediox  opcrativox.  a 
iravbx  dc  mi  cada  vcz  mayor  par  que  informal ica  y  iclcminco.  xe  ha  limtlado  al 
functonamtenco  i memo,  tin  cocrexpondcncia  relevance  con  b  production  jundura de  tu 
aefividad  relacionada  con  los  ciodadanov  Lav  tfeniev  burocrflicax  formalism, 
xupucxtamcmc  garancuuc.  han  caducado.  por  mix  que  a  algunox  lex  pa  reread 
numoviblcv  y  la  Ley  xe  abre  decididamcnce  a  U  lecnificacibn  v  modemi/acicn  de  la 
actuacidn  administratis  a  en  >u  venieme  dc  produccibo  juridtea  y  a  la  adapcactbo 
permanence  al  nemo  dc  lax  innovacionex  tecnddgtcas." 

F.l  prexence  capfculo  xobre  U  audiiorfa  informkica  en  U  Adminiscractbo  xc  centra 
cn  anali/ar  lax  conxccucncias  qoc  xe  derivan  para  exca  dixciplina  de  b  entrada  en  vigor 
dc  la  LRJ-PAC  y  dc  bx  drspoxteionex  que  la  dexarrollan.  En  parcicubr.  el  Real 
Dccccto  263/1996.  do  16  dc  febrero.  por  el  qoc  xe  regula  la  utilizaciba  de  ebenkas 
clcctrbnicax.  informicicax  y  celcmiticax  (EIT»  por  la  Adminixtracibn  General  del 
Excado. 

Exam  memos  en  primer  lugar  el  CraCamienco  que  reciben  lax  TIC  en  la  LRJ-PAC. 


24.2.  LAS  TIC  EN  LA  LRJ-PAC 

Lox  do*  prccepcox  exencialex  para  comprendcr  cl  papcl  axignado  a  bx  TIC  en  el 
procedinuenlo  adminixtracixo  por  la  Ley  30/1992  son  cl  ankulo  43  (Incorporacibn  de 
medio*  tbenkos)  y  el  38  (RegixCrox).  Extxlen  ocrox  en  lox  que  xe  contienen  mandacox 
que  afcccan  a  b  utilizacidn  de  lax  tbcnicax  EIT  por  pane  de  lax  Admimxcraoonex 
Piiblicax.  Sc  iraia.  principalmencc.  dc'  lox  que  xe  rcficrcn  al  acccxo  a  lox  regixcrox  y 
archixox.  a  las  comunicacioncx  y  notifkacionex.  al  derccho  a  no  prexeniar  documencox 
que  ya  xe  cncuentran  en  poder  de  la  Adminixtracibn  aduanfe.  a  la  validez  y  cficacia  de 
documencox  y  copiax  o  a  b  Informabzacibn  dc  regixcrox. 

Comcncemox  por  el  Aniculo  45  que  la  l.ey  dedica  a  la  "IncorporacxSn  de  medwx 
cbcmcox".  En  xu  primer  aparcado  xc  rccogc  cl  xiguicncc  mandato: 

“Lax  Adnunixirac  tones  impulsarin  cl  empleo  y  apltcaodn  dc  las  cbcnicax  y 
incdiox  clcccrbnkox.  informicicox  y  tclcmacicos.  para  cl  desarrollo  dc  xu  accividad  y  el 
ejerckto  de  xux  compeienciax.  con  lax  1 1  mi  lac  tones  que  a  b  utili/acibn  de  esios  medten 
exublcccn  b  Consticuci6n  y  bx  Ley  ex  " 

Dc  xu  lectura  podemox  extraer  bx  siguieneex  concluxionex: 

-  Se  craca  de  un  mandato  que  afccta  a  Codas  lax  Admimxcraoonex  a  lax  que  xe 
apltca  la  Ley:  b  General  del  Excado.  bx  dc  las  Comunidades  Aulbnonux  y  bx 
linlidades  que  iMegran  b  Admimstracibci  Local. 
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-  No  ic  reficre.  coroo  sciila  L.  Ortega  Alvarez.  vdk>  a  la  utili/acida  de  lav 
Uciucu  y  mcdiov  EIT  pan  cl  funcionanucnto  intemo  (dewrollo  de  mi 
actividad).  vino  tambtdn  a  Uv  rclaoonev  coo  lov  ciodadanov  (cjcrcicio  dc  mm 
compctenciav). 

-  Sc  rccucrda  que  el  uso  de  lov  mcdiov  FJT  vc  cncuentn  limitado  por  lo 
cvtablecido  cn  la  Consitucidn  (articulo  18.4)  y  lav  I -eye*  (pnncipalmencc  la 
LORTAO). 

hi  vegundo  apaitado  del  anfculo  preventa  poviblemcntc  un  mayor  calado.  ya  qtic 
laulta  a  kw  ciodadanov  a  retacionarvc  con  lav  Admimuracwoc*  Pilblicav  pan  cjcrccr 
m  dcrechov  a  travlv  dc  t&nicat  y  medim  KIT.  viempre  que  vc  vativfagan  lav 
apnentcc  coodicvoocv: 

-  Cuando  olio  vea  compatible  con  lov  mcdiov  t&nicov  de  que  divpongan  lav 
Adminutraciooev  PuMicav  Nov  encontranxM  aqui.  por  lanto.  ante  un 
probkma  de  normalizacidn. 

-  Cuando  la  relackSn  ciodadano-Admimvtncidn  revpctc  lav  garantlav  y 
rcquivitov  previtiov  cn  cada  proccdmucnlo.  hn  otrav  polabrav  mlv  prdximav  al 
immdo  de  lov  vivtcmav  dc  informaetdn.  vc  trata  dc  que  la  relaeidn  ciudadano- 
Adminivtracida  revpctc  lav  prevtvionev  del  Aniliviv  de  Rcquivitov  del  Siocma. 

Lov  aportadov  3  y  4  del  aniculo  4$  recogen  determmadov  rcquivitov  a  lov  que  la 
ley  socnctc  la  utilizacidn  de  Kcnicav  y  mcdiov  HJT: 

-  Avi.  el  apartado  3.  refendo  excluvivamente  a  lov  proccdimientov  que  vc 
tramiten  y  tenninen  cn  voportc  informilico.  exige  que  quede  garanti/ada  la 
idcntificacidn  y  cl  ejemcio  dc  la  compctcncva  por  el  drgano  que  lo  ejerve. 
Nov  cncontnmov  cn  cvtc  cavo  ante  un  probiema  de  autcnticacidn. 

-  El  apartado  4.  que  vc  aplica  vdk»  a  lov  programav  y  aplicaooncv  EIT  que  vayan 
a  ser  utilizadov  por  lav  Admimvtracioncv  Pdblicav  para  cl  cjcrcicio  de  vuv 
potevtadev.  exige  que  evlav  aplicacioocv  vean  prevumentc  aprohadav  por  el 
drgano  compctente.  el  cual  debc  difundir  pdbltcamcnte  vuv  caractcriuicav. 

KinalmeiMe.  el  apartado  $  vc  dedvea  a  lov  dorumeiuoi  rlectrdnica t.  evtablectendo 
In  requiutoa  pan  que  divpoogan  de  validez  y  cfWacta.  unto  lov  ocigmalcv  como  lav 
copiav.  flvtov  von  lov  uguientev: 

-  Que  quede  ganntizada  vu  autcnucidad.  inlegndad  y  cOBScrvactta. 

-  En  vu  cavo.  la  reetpeidn  por  cl  trucrcvado 

-  El  cumplitnicnto  de  lav  garantiav  y  rcquivitov  exigidov  por  la  propta  1JU-PAC 
u  otrav  lz)n 
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Mis  adelante.  cn  cite  miuno  capttulo.  no»  referiremos  a  cdtno  La  Adminiuracita 
General  del  Ivctado  (una  de  lat  Adminiuractoncs  afcctadat  por  la  Ley)  ha  regulado  la* 
prevtuonc*  del  art(cuk)  45  medunte  el  Real  Decreto  263/1996.  de  16  de  febrero.  pee 
el  que  sc  rcgula  la  utili/acidn  de  lArnicas  electronical,  mformiticat  y  tckmiticas  pee 
la  Adminiuracidn  General  del  lictado. 


24.3.  LA  INFORMATIZAClON  OE  REGISTROS 

Lew  registries  tradicionalmcntc  han  conctituido  la  “puerta  de  entrada"  de  kn 
ciudadanot  a  la  Adminittracidn.  En  el  sistema  rcgiural  definidu  en  la  I.RJ-PAC  k 
ettabkee  que  lew  drganot  administrative*  deben  llevar  “un  regittro  general  en  el  que 
sc  hard  el  corrctpondientc  atiento  de  todo  c cento  o  comunicacidn  que  tea  presentado  o 
que  te  rcciba  en  cualquier  Unidad  administrative  propia.  Tambkn  te  onoturin  en  d 
micmo  la  talida  de  lot  esentot  y  comunicaciooet  otic  tales  dirigidas  a  ocros  drganot  o 
particular es”  Ha.ua  aquf  todo  rcsulta  baUante  convenoonal.  La  novedad 
fundamental  mtroducida  por  la  LRJ-PAC  conuue  en  la  obtigacido,  rccogida  en  d 
artfculo  38.3.  de  instalar  en  coportc  informatico  todoc  lot  registries  de  lat 
Adnuniuracionet  Ptiblicat.  ci  bien  en  la  forma  y  pla/ot  que  determine  el  Gobtcnax 
drganot  de  Gobiemo  de  lat  Conuinidadet  Autdnomat  y  Entidadet  que  integran  la 
Admimtiraodn  Local,  en  funcidn  del  grade  de  detarrollo  de  lot  mediot  idcnicot  de 
que  diepongan  ( Disposition  adicional  tegunda). 

Etta  inttalacidn  en  coportc  informitico  cs  una  condkidn  nccetaria  para  que  lot 
registries  poedan  Ikvar  a  cabo  lo  que  podrmot  denotnmar  funcionet  rcgittrakt 
modemas.  que  vienen  a  aAadirte  a  lat  bistcat  del  tittema  adminittrativo  rcgiunl 
ctpaAol.  constituKlas  por: 

-  Sellado  de  la  documentacidn  dc  entrada  como  medida  de  “contlaneia  dc  la 
entrega".  Sc  entrega  al  ciudadano  una  copia  tellada  de  su  etcrito. 

-  Anotactdn  del  apunte  cn  el  Ubro  de  regittro. 

-  Si  la  entrada  en  el  regittro  csti  atociada  al  pago  de  una  cantidad  en  coocepto 
dc  impueuo.  precio  o  lata,  sc  vincula  la  anotacidn  a  la  malcrializacidn  del 
abono. 

Entrc  las  funcionet  mis  avanzadat  que  pueden  encomcndartc  a  lot  regittrot 
in  format  i/adot  figuran  lat  tiguientet: 

Garantfa  de  la  identidad  entre  el  original  entregado  y  la  copia  "tellada” 

-  Archive  tk  tegundad.  ante  posibkt  perdidas  dc  la  tolkiUid.  escrito  o 
comunicacidn  dingida  por  el  ciudadano  a  la  Adminittracidn. 
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-  Public  idad  registrar,  que  ofrece  cl  acceto  a  Icn  documentor,  art  como  la 
poubilidad  de  scftalar  a  un  regidro  como  depotitario  de  una  informaciAn 
previamenie  cntrcgada  a  la  Adminitiracidn.  para  facilitar  el  cjcrekio  y  la 
cxfratidn  del  dcrecho  reconocido  cn  la  l-ey  (Art.  35  f  de  la  LRJ-PAC)  a  no 
procnlar  lot  documentot  quo  ya  nr  encuentren  en  poder  de  la  Adminitlracidn 
actuantc. 


-  Intcgractdn  de  registro*:  gcneralet  y  auxiliarcs.  de  dittimot  drganot  o  aun  de 
distlntat  adinimttracionct. 

-  Adnutibilidad  de  comunicacionet  a  dituncia.  utando  mcdiot  como  el  correo 
electron ico.  !  I)I  o  cl  telctat 


24.4.  LAS  PREVISIONES  DEL  REAL  DECRETO  263/1996. 

DE  16  DE  FEBRERO,  POR  EL  QUE  SE  REGULA  LA 
UTILIZACION  DE  LAS  TgCNICAS  EIT  POR  LA 
ADMINISTRAClON  GENERAL  DEL  ESTADO 

El  obyctivo  de  etta  norma  et  delimitar  cn  el  dmbito  de  la  Adnututtracidn  General 
del  Fatado  lat  garantbn.  requisite*  y  tupoettot  de  utiliucMta  de  lac  tecmc.vc  EIT.  Para 
rllo  el  Real  IX-crcto  aborda  el  dctarTolk)  del  artfculo  45  dc  la  LRJ-PAC.  al  que  ya  not 
bemot  relcrido  anterior  me  ote.  y  que  en  el  prrimbuio  rccibe  la  cotvtideraciAn  de 
"verdadera  ptedra  angular  del  proceto  de  informacidn  y  validacidn  de  dichav  idcnicat 
[EIT)  cn  la  producci6n  juhdica  de  la  Admnuttracibn  Ptiblica  an  como  en  tut 
rtiaciooct  con  lot  ciudadanot". 

El  Real  Dccreto  263/1996  te  ettrociura  del  uguknic  modo: 

-  En  primer  lugar  delimila  tu  obycto  y  ambito  de  referencia  (Art.  II.  y  olrece 
unat  definictoncs  de  concept  ot  clave  en  relacidn  con  la  utiliracidn  de  lat 
Idcnicat  EIT:  toporte.  medio,  aplicacidn  y  documento  (Art.  3). 

-  A  contmuacidn  ettablece  dereclwt  y  garantias  gcneralet  en  la  utilirocibn  de 
topoctet.  mediot  y  aplicacionet  EIT. 

Ntt*  adelante  trata  una.  aerie  de  tupucstot  concretot  cn  lot  que  te  cxigc  un  grado 
dc  pnxccctdn  mix  clevado  ( Art*.  5  a  8|  y  que  te  refieren  a: 

-  Programat  y  aplicacionet  para  el  cjercicw  de  pocesiadet. 

-  Comunicacionet. 

-  Frtu ci An,  copta  y  almacenamiento  de  documentot  automatiradov 
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Finalinentc.  el  RcJ  Dccfdo  recogc  en  ui  Capitulo  III  ifivcnoi  precepcoi  de 
Accidn  adminixtraiiva.  para  concluir  con  uni  sene  <!c  disposrciooes  adktoniia. 
tranuiona.  dcrogatoria  y  final. 

Dcsdc  la  perspective  dc  la  auditoria  infomtiiica.  uno  de  los  aspcctos  cvencialcs  ts 
cl  dc  la  identificacidn  dc  li»  requisite*  de  seguridad.  normali/acido  y  coosersacuSc 
rccogidcn  en  el  texio  del  Real  Decrcio.  Bn  cste  cniorno.  la  audtloria  debc  lener  «xno 
uno  dc  3us  pontes  principalc*  de  atencidn  el  cumplimicnio  de  estos  requisite*. 


24.5.  IDENTlFICAClbN  DE  LOS  REQUISITOS  DE 

SEGURIDAD.  NORMALIZACldN  Y  CONSERVACION  EN 
EL  TEXTO  DEL  REAL  DECRETO  263/1998 

Scguidamenie  sc  examinan  dc  maneru  ustemittca  estos  requisite*,  pmeniaixk. 
en  panic  lo  cl  Icxlo  de  un  determinado  artlculo  con  los  requisites  en  <1  cooteoxlos. 
todo  elk>  dc  acuerdo  con  cl  anilisis  elect  uado  por  cl  CocutC  Tdcmco  de  Seguridad  dc 
lots  Sistemas  de  Inlormacidn  y  Triiamicnto  Aulomatizado  de  Datos  peroxides 
(SSITAD)  del  Conscjo  Superior  de  Informitka. 

24.5.1.  Garantias  de  seguridad  de  soportes,  medios  y 
aplicaciones 

Art.  4 

3.  Las  medida  i  tie  seguridad  apLcadas  a  los  soportes.  medios  y  aphcacumn 
ulilizados  por  los  Arganos  de  la  Administratrix  General  del  Estado  y  sus  entidades  de 
derecho  publico  vinculadas  o  dependienles  deberdn  garanlizur. 

at  La  reslricciAn  de  su  utilizaciAn  y  del  acceso  a  los  datos  e  informaciones  en 
ellos  contenidos  a  las  personas  autorizadas. 

b)  La  presxnciAn  de  alteraciones  o  pdrdidas  de  los  datos  e  informaciones. 

e)  la  protection  de  los  procesos  in/ormdticos  f  rente  a  manipulaciones  no 
autorizadas. 

4.  Las  etpecificaciones  t/cnicas  de  los  soportes.  medios  y  aplicaciones  ulilizados 
en  el  dmbito  de  la  Administration  General  del  Estado  en  sus  reUtcione s  external,  y 
cuando  afecten  a  derechos  e  interests  de  los  ciudadanos  deberdn  ser  ccmformes.  en  su 
caso.  a  las  nomas  nacionates  e  intemacionales  que  scan  exigible s. 
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Requisites: 


IdentificaciAn 
Control  At  Accetos 
CalidaA 
InltghAad 

CompaliMiAaA 


De  personas  auloriradas 

Restnccion  dc  acccw  a  personas  autori/adas 

Pro  cnctdn  de  allcraciones  o  pcrdida  dc  los  <l»tos 

Protect  idn  de  I  os  procesos  informincsw  (rente  a  manipu- 

lacioncs  no  autori/ada* 

Confomudad  con  nor  mas  naciotulcs  e  Internationales 


24.5.2.  Emisidn  de  documentos:  procedimientos  para 
garantizar  la  validez  de  los  medios;  integridad, 
conservacion.  identidad  del  autor  y  autenticidad 
de  la  voluntad 


Art  6.1 

Lot  Aocumtntot  tmitiAot  par  lot  Arganot  y  rntidaAtt  At!  irrAnto  At  la 
AdmnistraciAn  Grnrral  Art  EitaAo  y  por  lot  parUcularti  tn  sm  rtlatkmt  t  con 
tguellot.  <jut  hayan  lido  proAuciAot  por  mtAiot  tkctrAnicot.  isformatiros  y 
kiematicos  tn  toportet  At  cualtfuitr  nalurulrza  ttrAn  \AliAot  tirmprt  que  queje 
ttrtAilaAa  t u  iniegriAaA.  coruenttciAn  y  la  iAmtiAaA  At I  autor.  at!  como  la 
tkttnticiAaA  At  tu  voluntaA.  mtAiantr  la  canstancia  At  cAAigos  u  otrot  asternal  At 
AmtificaciAn. 

En  lot  proAuciAos  por  lot  Arganot  At  la  AAministraciAn  Gtntra'  Atl  EitaAo  o 
for  JBi  tntiAadts  vinculaAot  o  AtptnAitntti.  Aichot  cAAigot  o  tis'emat  martin 
pcttgiAot  At  forma  tfut  unicamrntt  purAan  ttr  utilizoAot  por  tat  personal 
atonzaJat  por  razAn  At  tut  comptttncias  o  funciontt. 

Requisites: 

Dc  rmURSn  dc  documento* 


InttgriAaA 

Conservation 

lAtniificactAn 

AutenticaciAn 


Del  documento 

tin  Registro.  dc  la  emistdn  del  documento 
Del  autor.  dentro  del  documento 
Del  autor.  dentro  del  documento 


Dc  autenticidad  dc  la  solunlad 


lAtntificaciAn 

AutenticaciAn 


Del  autor.  cn  Registro 
Del  autor.  en  Registro 
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24.5.3.  Validez  de  las  copias:  garantia  de  su  autenticldad, 
integridad  y  conservacion 


Art.  S.2: 

Las  copkts  de  documentor  originates  atmacenados  por  medios  o  en  soportet 
dettrdnieos.  informdticos  o  lelemdlicos.  expedites  por  los  drganos  de  It 
Administration  Genera!  del  Eslado  o  por  sus  enlidades  vincsdadas  o  dependientes, 
tendrdn  la  misma  validez  y  eficacia  del  documento  original  sienspre  que  qarde 
garantizada  su  auteniicidad.  integridad  y  conservation. 

Requisites: 

Autenticacidn  Del  autor  de  la  copta.  dcnlro  de  la  copa 

Integridad  Del  docuntento  original,  dcnlro  dc  la  .~opia 

Conservation  En  Regmro,  dc  la  cmixidn  dc  la  copit 


24.5.4.  Garantia  de  realizacibn  de  las  comunicaciones 

Art.  7.1 

U i  transmisidn  o  recepcidn  de  comunicaciones  enire  dcganos  o  enlidades  del 
dmbilo  de  la  Administration  General  del  Estado  o  enire  dsns  y  cualquier  persona 
fisica  o  juridica  podrd  realizarse  a  troves  de  sopories.  nedios  y  aplkacknes 
informdticos.  elect rdnicos  y  lelemdlicos.  stempre  que  ctmplan  los  sigmtntei 
requisites: 

a)  La  garantia  de  su  disponibilidad  y  acceso  en  las  ccndiciones  que  en  coda 
caso  if  etttMe; can. 

b)  La  exislencia  de  compalibilidad  enire  lot  ulilizadcs  por  el  emisor  y  el 
destinatario  que  permita  tdcnicamente  las  comunicaciones  enire  amlxn. 

im  lit  ft  into  tu  MilioMuin  d*  tddigvt  }  finmulvt  >  dittAos  dr  irgiuiu 

esicMecidos  por  la  Administration  General  del  Estado 

c)  La  exislencia  de  medidas  de  seguridad  lendenies  a  esilar  la  inter ceplacidn  r 
aheracidn  de  las  comunicaciones.  as!  como  los  acceso t  no  autorizadot. 

Requisites: 

Disponibilidad  Dc  medios  para  dar  continuidad  y  caltdad  a  la  comunicacita 
Identification  En  Regixtro.  scAalando  condicioncx  4c  acceso  para  cl  sujets 
idcntificado 
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Compatibilidad  Tin  to  dc  cddigos  >  formato*  o  dixrftos  como  de  k»  median 
ubli/adot 

Confident  tahdad  Del  contenido  de  U  comunicacidn.  imiuliu  U 

imencepuctda 

Integridad  Del  c  on  (cm  do  de  U  comunicacidn.  detccta  la  altcraodn 

Control  de  Acte  tot  Recha/a  la*  idcntificaciooc*  no  rrgiurada* 

24.5.5.  Validez  de  comunlcaciones  y  notificaciones  a  los 
ciudadanos;  constancia  de  transmisibn  y  recepcion, 
estampacion  de  fechas  y  contenido  mtegro,  identi- 
ficacidn  fidedigna  de  remitente  y  destinatario 


Art.  7.2 


Lot  comunicacionet  y  notificationet  efettuadas  en  lot  toporiet  o  a  Inn*  de  lot 
mediot  y  aplicacionet  refendot  en  el  apartado  anterior  terdn  vdhdat  tiempre  que 

a  I  tuifu  conitancia  de  la  irammitiiSn  y  reception  de  tut  fechas  y  del  contenido 
Integra  de  lat  comumcacionet. 

b)  Se  tdenrifique  fidedtgnamente  al  remitente  y  al  dettinatario  de  la 
comunicacidn. 

cl  En  lot  tupuettos  de  comunicacionet  y  notificacionet  dirigidat  a  partnuUiret. 
que  Jitot  hayan  tehalado  el  toporte.  medio  o  apt  nation  como  preferente  para 
nu  comunicacionet  con  la  Adminntmcidn  General  del  Estado  en  cualquier 
momenta  de  la  iniciacidn  o  tramitacidn  del  proceduniento  o  del  detarrollo  de 
la  actuacidn  administrate i 

RcyiiiHi: 

Certification  En  Rcgturo.  dando  coouancta  de  la  trammiudn  y  rcccpoOn. 

con  sus  fechas  y  del  contenido  (ntegro  de  la  notificacidn 

Autenncacidn  De  ambo*  cone*  poo  calc*.  durante  cl  proccso  de  comumcaodo 

Compatibilidad  El  voportc.  medio  o  apltcacidn  seAalado  como  preferente  ha  de 
icr  compatible  con  el/lo*  de  b  Admmistracidn  General  del 
Estado 

24.5.6.  Comunlcaciones  por  medios  preferentes  del  usuarlo; 
comunicacidn  de  la  forma  y  eddigo  de  accesos  a  sus 
sistemas  de  comunicacidn 

Art.7J 

En  lat  actuacionet  o  procedimientot  que  te  detarmllen  integramente  en  toporiet 
tUelrdnicot.  informdncos  y  teUmdticot.  en  lot  que  te  produzcan  comunicacionet 
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caracte  nzadas  por  tu  regulandad.  niimero  y  i ohonen  rnlrr  Arganos  v  entidadrt  Art 
dmbito  tit  la  AdministraciAn  General  del  Estado  y  deierminadas  personal  fiiitai  o 
juridical.  Altai  comunicardn  la  forma  v  c Adi  go  de  occtsot  a  ius  tistemai  Jr 
comunicactAn.  Pic  hoi  internal  te  entrnderdn  seAalados  con  cardcter  general  coma 
pre/erenict  para  la  recepciAn  y  tranimiiiAn  de  comunicadones  v  notificackmei  en  lot 
actuacionei  a  lai  que  ie  refiere  cite  apartado. 

Requisites: 

Identification  Del  eddigo  tie  acceso  al  si  Menu  tic  comunkacMSn  del  uuuno 

CompattMidad  De  la  forma  del  acceto.  con  lot  medio*  ditponibie*  pc«  U 
Adminittracidn  General  del  Etudo 


24.5.7.  Validez  de  fechas  de  notificacidn  para  computo  de 
plazos;  anotacion  en  los  registros  generales  o 
auxiliares  a  que  hace  referenda  el  articulo  38  de  la 
LRJ-PAC 

Art.  7.4 

Las  fechas  de  tranimiiiAn  y  recepciAn  acrtditadai  en  las  comunicacitmei 
reseiiadat  en  lot  apartado t  anteriores  serdn  sdlidas  a  efettos  de  cAmputo  de  piazot  y 
terminal,  a  cuyos  efettos  se  anvtardn  en  los  registros  generales  o  auxiliares  a  que 
hace  referenda  el  articulo  38  de  la  Ley  30/1992.  de  RAgimen  Juridico  de  lot 
Administracionei  Piiblicas  y  del  Proeedimiento  Administratis o  Comitn. 

A  eitot  efectoi  los  Sistemas  de  In/ormaciAn  que  mtegren  proteins  de  tranimiiiAn 
y  recepciAn  podrdn  ccmstituine  en  registros  auxiliares  cuando  recojan  todos  los  datos 
a  que  hace  referenda  el  pdrrafo  icgundo  del  apartado  3  del  articulo  38  de  la  Ley 
30/1992.  de  RAgimen  Juridico  de  las  Administracionei  Piiblicas  y  del  Proeedimiento 
Administrating  Comun.  y  se  tenga  acceso  a  ellos  desde  las  unidadei  encargadai  de  ter 
registros.  generales  correspondientes. 

Requisite*: 

CertificaciAn  En  RegiUro  Auxilur.  de  las  fechas  comuntcada*  al  usuario 

Control  de  Accesos  Al  Registro  Auxiliar.  para  asegurar  que  tolamente  accedes 
al  mismo  unidade*  de  RegiMro  General 
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24.5.8.  Conservaclon  dc  documentos;  medidas  de  seguridad 
que  garanticen  la  identidad  e  integridad  de  la 
informacidn  nccesaria  para  reproducirlos 

Art.  S3 

Los  documentoi  de  la  Administrate*  General  del  Estado  y  de  sus  enlidades  de 
derecho  publico  vr ntuladas  o  dependientes  que  contengan  ottos  administrativos  que 
afetien  a  derechos  o  interests  de  los  particulates  >  hayan  sido  producidos  medumte 
Ucnicas  eletirtSnicas.  informdtitas  o  telemdticas  podrdn  consennrse  en  sopones  de 
tuo  naturateza.  en  el  mtsmo  formato  a  partir  del  que  it  origind  el  documento  o  en 
otro  cuatquiera  que  asegure  la  identidad  e  integridad  de  la  informacidn  necesaria 
para  reproducirlo. 

Requisites: 

Identification  En  cl  Rcgistro,  del  documento  original 

Certificate*  En  el  RegiMro.  dc  la  informacidn  que  asegura  la  integndad  del 
documento  original 

Integridad  De  la  informacidn  capas  de  reproducirlo  >  contrast arlo  con  la 
informacidn  de  notarizacida 

24.5.9.  Acceso  a  documentos  almacenados;  dlsposiciones 
del  artfculo  37  de  la  Ley  30/1992,  y,  en  su  caso,  de  la 
Ley  0rg6nica  5/1992.  Normas  de  desarrollo 

Art.  S3 

El  acceso  a  los  documentos  almacenados  pot  audios  o  en  soportes  electrdnicos. 
mformaticos  o  telemdticas  $e  regird  por  lo  dispuesto  en  el  articulo  37  de  la  Ley 
30/1992,  de  Regimen  Jurldico  de  las  Adminisrrationes  Publicas  y  del  Procedimiento 
Administratrix  Comun.  y.  en  su  caso,  por  Us  Ley  Orgdntca  S/1992,  de  Regulation  del 
tratamiento  automatizado  de  los  datos  de  cardcter  personal,  as I  tamo  en  tus 
torrespondientes  normal  de  desarrollo. 

Requisites: 

Control  de  Accesos  Al  Rcgistro.  doode  **  cncucntrc  idcntificado  cl  documento 
original 
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,  1.  Confident  itihdiui 

5.  Control  de  accesos 

H.  Consrnaeidn 

2.  AulenticdciOn 

6.  IdentificaciOn 

9.  Compatlbilidod 

J.  Integridad 

4.  DisponiMidad 

7.  Certificat  ion 

10.  Calidad 

24.5.10.  Almacenamiento  d«  documentos;  medidas  de 

seguridad  que  garanticen  su  integridad.  autenticidad, 
calidad,  proteccion  y  conscrvacion 

Art.  8.4 

lets  medios  o  sopones  en  que  se  almacenen  documentos  deberdn  comar  con 
mrdidtn  de  seguridad  que  garanticen  la  integridad.  autenticidad.  calidad.  protection 
y  c ante nacidn  de  los  documentos  almaeenados.  En  particular,  asegurordn  la 
identification  de  las  usuarios  y  el  control  de  accesos. 

Reqimiton: 

Integridad  Dc  la  infocmacidn  contcnida  en  cl  soporlc 

Autenticidad  Del  vojxwlc  y  de  tu  conienido 

Calidad  Del  soporte 

ConsenvtiOn  Del  toportc,  del  Regiuro  del  toportc.  y  del  proceio  que 
recupera  la  informacidn  del  toportc 

Identification  En  el  Regiuro  del  toporte.  del  autor  del  toporte.  y  de 
quiene*  poeden  aeveder  al  toporte 
Control  de  Accesas  Rccha/a  lu  tdcniificaoonct  no  regiuradat 

Dc  manera  rcMimtda.  la  utuaodn  de  conjuMo  ci  la  que  ve  reeoge  en  cl  liguiencc 
cuadro  returned  dc  requisite  de  teguridad.  normali/aciOn  y  cotnervacidn  de  lat 
aplicacionet  en  el  RD  26V 1 996. 
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24.6.  C0NCLUSI0NES  SOBRE  EL  PAPEL  DE  LA  AUDITORlA 
INFORMATICA  EN  LA  ADMINISTRACION 
ELECTRONICA 

FJ  concept©  de  “Admimstracid©  electrdoica'.  Admimstracidn  virtual  o  <lc  U 
Adnunistracidn  en  U  Sociedad  de  la  Intormacidn  ha  lemdo  cn  I  os  liltimo*  arios  uru 
itlesaacia  creciente  tamo  cn  mcdios  profesionales  coroo  pan  el  publico  cn  general. 

En  las  Ac  (as  de  la  30*  Conferencia  del  Consejo  Intemacional  sober  las 
Ttcnologlas  de  la  Informacidn  cn  Us  Administrate  tones  del  Estado  (ICA).  celebrado  cn 
octufere  de  1996  en  Budapest,  se  recoge  U  siguientc  defimeidn  de  Admirustracidn 
dKVdnica: 

•  E*  la  posibilidad  de  qoe  los  ciudadanos  acccdan  a  los  sctvkios  adminiurativos 
de  mancra  elect  rdnica.  24  horas  al  dia.  7  dUs  a  U  semana.  para  la  obtenetdn  de 
informacidn. 

•  AiVmis,  e*  U  posibilidad  de  cfcctuar  trimites  de  mancra  clectrdnica  con  los 
ciudadanos.  con  otros  drganos  o  Administracioncs  y  con  las  empress*. 

•  Tambien  consistc  en  reducir  y  stistituir  cl  papdeo  gracias  a  la  eatensidn  del 
correo  clectrdnko 

Tambtcn  se  identifican  los  mecanismos  a  trails  de  los  cualcs  se  favorccc  la 
Mrodoccion  de  la  Adnunistracidn  electrdnica: 

•  El  principal  c*  U  demanda  de  los  ciudadanos  de  servicios  similarcs  a  los  del 
sector  privado. 


AUlXTtHU  IMIUMAIK'A 


•  I  .os  importantcs  ahorroscn  personal  y  cn  cosies  dc  mantcnimknto. 

•  La  simplificacido  dc  funcione*  y  procesot. 

•  La  rcsolucidn  dc  problcinas  m*s  tipida  con  sistcmas  cn  linea  qsic  a  liases  de 
corrcspondcncia  e sen  la. 

•  La  prcvcncidn  del  fraodc.  mediante  una  mejor  identifkacido  y  auditabilalad 
de  las  transact  nines  elect  rdrocas. 

•  La  ape rt ura  de  nuevas  opottunidadcs  para  lot  usuanos  Poeden  hacerlo  [W 
tekfono  o  a  traves  de  Internet  cn  lugar  de  despla/indose  a  una  oficina. 

•  la  facilidad  de  uso. 

Kn  otras  palabras.  la  extraleg  la  para  poncr  en  prictica  la  Administrarifa 
clcctrdnica  consist c  cn  proporcionar  semoos  mediante  tecnicas  BIT.  con  cfkacu  en 
cl  coste  y  acccsibilidad  para  los  ciudadanos.  dc  acucrdo.  entre  otros.  con  lot  siguxates 
pnneipios: 

-  EUccitin  del  medio  como  preferente.  no  excltuito. 

Confuwza  cn  que  la  informacidn  recogida  de  ciudadanos  y  empresas  serf 
protcgida  de  mode  que  no  poeda  ser  accedida  incorrectamente  o  mampulada 

-  ArceiiMuJad a  lot  tcrvicios  edmo.  ddndc  y  cuindo  el  clicnte  lot  requicra 

-  DifuriAn  de  la  informacidn.  siempre  que  <*la  no  deKa  ser  protcgida  pc* 
razoncs  de  privacidad  o  dc  conftdcncialidad  comercial. 

Eficocia  en  la  prcstacido  del  servicio.  simplificando  trimites  y  reduciendo  el 
tiempo  de  retpuetta. 

-  RacionalizaciA*.  eviundo  cn  lo  potible  la  duplication  dc  esfucr/ns  y  recunot 
que  puedan  ter  com  part  xk>s 

En  cute  contcxto  de  la  Admuustracidn  clectrdnica.  ya  be  mot  vulo  como  en 
EspoAa.  cn  el  cato  dc  la  Administration  General  del  Etiado.  se  dispone  dc  un  marto 
legal  que  no  sdlo  pcnnitc.  sino  que  impulsa.  la  utilizacido  de  las  tdenkas  EIT  pan  las 
relacsoncs  con  lot  ciudadanos  De  este  marco  juridico  se  deduce  que  existen  unot 
requisitos  concrclot  dc  seguridad.  normal  i/aci<Sn  y  comunkactdn  para  haccr  rcalidad 
este  nuevo  tipo  dc  Administracidn.  La  Auditoria  informitica  en  la  Adminitiracke 
tienc  ante  si  como  una  tarca  especial  mente  rclevantc  la  de  comprobar  el  cumplimieoeo 
de  cstos  requisites  en  aplkacioncs  o  sistemas  de  informacidn  cone  ret  os.  y  mis  ea 
particular,  en  aqucllos  sistemas.  como  los  dc  uiformatUacidn  dc  regittros,  oncniadot  a 
facilitar  las  rclaciones  dc  ciudadanos  y  empresas  con  las  Admiiustracioncs. 
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24.7.  CUESTIONES  DE  REPASO 

I  iQui  \c  cxpooe  cn  U  Ley  dc  Regimen  Juridico  dc  las  Administraonncs 
PiiMieas  rcspecto  a  la  utili/acidn  dc  las  TIC  cn  la  Administracidn  ? 

2.  ,C uilcs  son  los  problems*  dc  normalizaodn  quc  influjen  cn  la  relation  dc 
I  os  ciudad  inos  con  las  Adminivtrac  tones  Publics*? 

3.  iCuiks  son  kw  requisites  dc  salide;  Jf  eficacia  dc  los  documcnios 
clcctrdnicos? 

4.  tC'uilc\  son  los  principals  aspccios  a  audilar  cn  la  informaii/acidn  dc  un 
regrstro? 

5.  cCuil  cs  el  obfciivo del  Real  IXxreto  26.VI996? 

ft  .  (‘uilcs  son  los  requisites  dc  segundad  cn  cl  texto  del  Real  Decrcio 
263/1996? 

7.  iQttt  lipo  dc  rcquititos  imponc  la  garantia  dc  reali/acido  dc  las 
comunicacioncs? 

#.  iQut  sc  cspccifica  cn  cuanto  acccso  a  documcnios  almaccnados  cn  la  Ley 
3/VI992  y  cn  la  Ley  Orgfcttca  5/1992? 

9.  Defina.  ,cn  quf  consisic  la  admtnislracibn  electrbnica’’ 

10.  iQoi  mccamsmo*  cmplcaria  para  favorcccr  la  mtroduccidn  dc  la 
Admimslraodn  electron  tea? 
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AUDITORfA 
INFORMAT1CA  KN  I.AS  PYMES 


Carlos  M.  hrrntlnde;  Sdnchtz 


25.1.  PREAMBULO 

25.1.1.  Las  PYMES  y  las  tecnologias  do  la  Informacldn 

FJ  prcscnte  capilulo  prctende  vcf  una  contribucidn  que  R  win*  al  csfuer/o  por 
ttoseguir  una  mayor  rcntabilidad  dc  los  uslcmas  dc  Informacidn  cn  la*  cmprcsas  y 
■is  concrttamcntc  cn  las  dcrtominada*  PYMES  (PtqucAas  y  Medianas  Emprcsas) 
La  importancia  dc  las  PYMES  vicnc  dada  ante  lodo  por  mi  niimero  -mis  dc  dot 
nilVmes  dc  empresas  que  confonnan  cl  Icjido  cmprcsanal-  ati  coma  por  ul 
pcxracialidad.  ya  que  consutuycn  la  base  del  dcsanollo  cmprcsanal.  saendo  una  fuente 
k  generaetdn  del  170%  del  cmplco  total  cn  F.spaAa  Si  anali/amos  la  situaetdn 
capresarial  cn  los  poises  iberoamcncanos  integrado*  cn  la  OCDE  comprobamo*  que 
la  situacidn  relcvante  dc  las  PYMES  cs  muy  parcoda  a  la  cspaAola.  con  una 
iportacidn  al  PIB  del  40%  al  $0%  A  la  vista  dc  cstos  duos,  cs  un  hccho  pee  Tin 
eunudo  por  lodos  los  cstamentos  publico*  y  privados  dc  la  socicdad  actual  la 
acccsidad  dc  reformar  la  compctitividad  y  rcntabilidad  dc  las  PYMES  fatorcckodo  su 
cstabilidad  y  la  que  £*u*  aportan  a  la  ecooomia.  Para  contribuir  a  dlo.  el  pnmer  paso 
esabordar  su  probtcmitica  interna:  su  propso  (uncionamicnto.  y  dentro  del  mismo.  los 
uvtcmas  dc  informacidn  que  ban  dc  permitir  la  gcsbdn  y  seguimicnto  dc  las 
pnneipale*  variables  del  ncgocio.  faciliundo  la  corrccu  toma  dc  dccistonet. 
numirando  nesgot.  y  consiguiendo  dc  cslc  modo  ampliar  su  compctitividad  cn  un 
mere  ado  cada  vc/  mis  abicno  y  libcrali/ado 
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Ex  asimixmo  on  hcdto  perfcctamcnte  denxwtrado  que  cl  Control  Inerroo 
Infocmitico  y  mi  auditor)*  pcmmc  gestionar  y  rcmabili/ji  I<»  sistcmas  dc  informacidn 
tie  la  form*  mis  cftocntc.  optimi/ando.  cn  soma,  rcvultadcw  Por  eslc  hecho  homos 
crcklo  do  inserts  abordar  cn  cl  presente  capilulo  la  exposicidn  dc  cslc  mflcdo  de 
AUDfTORlA  INfiORMATICA  expooto  dc  forma  breve  y  direct*  cn  la  conskcido  de 
que.  ponrtndolo  cn  prictica.  sc  lograri  que  I  os  Sistcmas  sic  Informacidn  scan  fiablet. 
exact  ov  y  ante  todo.  den  el  fruto  quo  I  os  empectarios  esperan  de  cllos. 


25.1.2.  Metodologia  de  la  Auditorfa  Informatica 

Ha  la  actualisJad  existcn  ires  lipox  de  rnctodologfas  dc  Audiioria  Informitica: 

-  R.O.A.  (RISK  ORIENTED  APPROACH).  discAada  por  Arthur  Andersen. 

-  CHECKLIST  o  cunt  ion 

AUDITOR  (A  DE  PRODUCTOS  (por  ejcmplo.  Red  Local  Windows  NT; 
sistcmas  dc  GcsiiAn  dc  base  dc  Datos  DB2:  Paqucte  dc  segundad  RACF.  ctc.l. 

En  sf  las  ires  rnctodologfas  cstan  basadas  cn  la  minimi/acidn  de  los  riesgos.  que 
sc  conwguirti  cn  funcidn  dc  que  cxistan  los  controlcs  y  dc  que  dxtox  funcioncn  fin 
umsccuciKia.  cl  auditor  slcberi  rcsisar  estos  controlcs  y  su  funoonannento 

De  cstas  ires  mctsxlologius.  la  mis  adccuad*  a  la  Auditorfa  dc  las  PYMES  es  a 
micslro  juicio  la  de  CHECKLIST.  por  ser  la  dc  mis  ficil  ulili/acidn. 


25.2.  INTRODUCClbN 


25.2.1.  £En  quo  consiste  la  gufa  de  autoevaluacidn? 

Fata  gufa  dc  autocvaluacidn  pretende  ser  un  m  sterna  scncillo  y  fiable  dc  conoccr 
la  situacidn  general  del  si  sterna  de  informacidn  dc  una  empresj.  asf  corno  deflnir  el 
cstaslo  del  control  de  dichos  sistcmas  tomando  como  control  la  dcfinicidn  dc  la 
ISACA  (Information  System.  Audit  and  Control  Association). 

“law  nrttodos  que  abarquen  las  polilicas.  proccdimicrtos.  pricticas.  cstimlarcs  y 
estmeturas  organi/ahsax  que  aseguren  la  adccuacidn  dc  la  gestidn  dc  los  activos 
informiticos  y  la  fiabilidad  dc  las  actis  idadcs  dc  los  sistcmas  de  informacidn.” 

No  sc  pretende  con  la  nusma  chminar  las  funcioocs  del  auditor  (interno  o 
exteroo)  informitico.  sino  que  cl  rcsponsablc  dc  los  sistcmas  dc  informacidn.  d 
Gerente  o  Director  dc  un  departamento  o  dc  la  mixma  empeesa  pueda  haccrsc  una  idea 
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sufkientemenlc  aproximada  del  cstado  dc  xus  sixtcnu'.  pudiendo  abordar.  cn  caxo 
neccxario.  un  cxtudio  mix  intenxo  o  expeciali/ado  de  lox  mtxmov.  Revolts.  pucx.  un 
enfoque  dc  Auditoria  Interna  tomando  como  hate  que  la  mfnrmacidn  ex  un  activo  mix 
de  la  empreva  y  como  Audiloria  Informitica: 

"Proeexo  de  recoger.  agnipar  y  evaluar  evidenoax  para  detcrminar  xi  un  si  Menu 
informaiirado  xulvaguarda  tax  activox.  mantienc  la  inlegndad  de  tax  datoc.  I  leva 
efica/mente  tax  fincx  de  la  organiucidn  y  ulili/a  cfioentemente  tax  rccurxox  de  CMC 
modo.  asi  como  xuxicnta  y  confirms  la  conxccucidn  de  lox  objetivox  tradicionalex  del 
auditor." 


Aximixmo.  con  exta  gula  pretendemox  que  el  uxuario  o  el  Auditor  pueda 
cocnprobar  por  sf  mixmo  la  fiahilidad  y  conxixtencia  de  sux  xixtemax  mediante  una 
metodotogfa  que  no  Ic  obliguc  a  lener  ampin*  conocimientox  de  informitica  ni  de 
Auditoria  propiamente  dkltox. 


25.2.2.  quien  va  dirigida? 

Tal  y  como  cl  ritulo  indka.  exta  gula  exti  orientada  a  lax  Pcqucflax  y  Medianas 
emprexav.  y  dentro  de  lax  mixmax.  a  lux  rexponxablex  de  lox  xixtemax  de  informacidn. 
ferentex.  directivox  o  auditorex. 

Conxideramox  que  exta  gula  pxiede  xer  dc  gran  utilidad  a  la  bora  de  examinar  y 
p«<e n oar  los  xixtemax  dc  mfonnacidn  y.  en  conxecuencta.  para  mejorar 
usbxtancialmentc  la  gextidn  y  control  de  la  propta  emprexa 

1:1  auditor  podria  xer  un  financkro  con  conocimientox  de  informittca  o  un  auditor 
ttformilico  junior. 


25.2.3.  Conocimientos  necesarios 

Scgtin  algunox  emorc..  no  rcMilio  nccewio  loner  conocimientox  infomUtieox 

para  realirar  una  auditoria  informitica  mcdiar.tr  la  kenica  utilirada  en  exu  gula 
(CHECKLIST).  No  obxtante.  creemox  necexario  un  mlnimo  de  format  tan  expedite* 
para,  al  menox.  xaber  qik  cx  lo  que  xe  quicre  anali/ar  axl  como  algunox  concept  ox  no 
wx  rexulten  exccxivamcntc  exiraitax.  Kundamcntalmcntc  exox  conocimientox  xerin  de 
U  Indole  dc: 


Mimcomputador. 
Red  Local. 

PC. 
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-  Ptriffricos. 

-  Software  dc  Bite 

-  Efscacu  tie  un  scrvicio  informitica. 
Seguridad  Ldgica. 

-  Seguridad  Fisica 

-  Be. 


Asimismo  scri  ncccsano  conocer  en  profundidad  el  organismo  o  Area  a  cvaliur; 
mi  organtzaetdn.  composaodn  y  caractrristicas  peine  ipaks,  asf  como  lot  medico  dc  qoe 
re  ditpooen  planlilla.  dator  tecmcos.  etc  Por  uipucsto  es  dc  stable  que  re  lengui 
unos  conocimientor  informilicos  mis  exhaustivea.  puer  poeden  ayudar  a  b 
pondcrao6n  dc  lor  controlcs.  pero  insirtimor  en  qoe  no  son  indispensable*. 


25.2.4.  Entomos  de  aplicacion 

F.tta  gufa  esti  cnfocada  hacia  Her  grander  entomos  que  son: 

-  Mimcompuiadofcs  e  infonniitta  distribuida. 

-  Redes  de  Area  Local. 

-  PCs. 

Dicho  enfoque  es.  a  noeMro  entender,  el  mis  Idgico.  pueslo  qoe  son  los  citadca 
entomos  los  que  re  utili/an  (qwi/i  en  casor  determinados  con  alguna  caracterisoca 
especial)  en  los  circulo*  dc  la  pcqucAa  y  mediana  empresa. 


25.2.5.  Metodologia  utillzada 

La  metodologia  utilizada  es  la  Evaluacidn  de  Riesgor  (ROA  Risk  Oriented 
Approach)  rccomcndada  por  ISACA  ( Information  System.  Audit  and  Control 
Association.  AsociaoOo  Imemacional  dc  Auditores  dc  Sistcmas  de  Informacido). 

Erta  evaluation  de  Riesgos  sc  desanolla  sober  detemunadas  areas  dc  aplicacidn  y 
bajo  kcnicar  de  Checklist  (Cuestionanos)  adaptados  a  cadi  entomo  espcclftco;  deberi 
tenerse  en  cuenta  que  determinados  controlcs  sc  repetirin  en  diversas  areas  de  nergo. 
Erto  es  debtdo  a  que  dichos  controlcs  tienen  mcidencia  independiente  en  cada  u-u  y. 
que  sc  pretendc  poder  anali/ar  cada  irca  indepcndicntcmeittc.  es  ncccsaru  dicta 
repetition.  Asimismo  los  controlcs  generates  y  algunos  controlcs  de  caracterirtjcar 
erpccialer.  como  poeden  ser  los  dc  bases  de  datos.  rc  aplkarin  teniendo  cn  cuenta  Ui 
particulandades  dc  cada  entomo. 


www.FreeLibros.me 

CAPfTU-O  IS  AlUrTOgU  INWMIMATICA  LAS  rYMKS  571 


25.3.  UTILIZAClON  DE  LA  GUfA 

Tal  y  como  bcmos  apuntado  antenormcnte.  la  aulogufa  estl  dividida  en  v arias 
areas  dc  riesgo.  concrctamcntc  sc  is.  que  son: 

1 .  Rtctgo  cn  U  continuidad  del  proccso. 

2.  Ricsgo  en  U  cficacia  del  scrvicio. 

3.  Ricsgo  en  la  elkiencia  del  scrvicio. 

4.  Riesgos  ccondmicos  director 

5.  Riesgos  de  la  seguridad  Idgica. 

6.  R ics gas  dc  la  seguridad  ffsica. 


25.3.1.  Fases  de  la  autoevaluacidn 

Para  aclarar  un  poco  cl  enfoque  vamos  a  (raiar  de  cxplicar  someramcr.tc  el 
tignificado  dc  cada  uno  dc  dim.  leniendo  cn  cuciua  que  no  cxisic  una  separation 
absoluta  entre  los  reismos.  sino  que  frccucnlcmeme  sc  solapan  c  incluso  deter  minados 
riesgos  conllevan  olros  que  sc  han  esaluado  cn  diferentc  Area.  No  obstante  crecmos 
que  cxistc  una  cicrta  cspecificidad  cn  los  controie*  a  llcvar  a  cabo.  ademis.  sc  ha 
pretendtdo  orientar  cl  anilisit  a  unas  ircas  lo  mis  prdximas  a  la  empresa  y  mis 
interests  dc  forma  que  cl  dircctiso  o  empeesano  pueda  haccr  una  cvaluacidn  di recta 
un  dcscartar  que  postenormente  sc  pueda  cootar  con  la  interpretation  posterior  mis 
exhaust  iva  dc  un  anahsta  o  auditor  mformitico. 


Rirsgo  cn  la  contlnuldad  del  proccso 

Son  aqucllos  nesgos  dc  situacioncs  que  podicran  afcctar  a  la  rcali/aciOn  del 
trabajo  mformitico  o  incluso  que  podicran  llcgar  a  puralizarlo.  y.  por  code,  llegar  a 
perjudicar  gravemente  a  la  empresa  o  incluso  umbkn  a  puralirarla.  Sc  deberi  haccr 
especial  hincapiO  cn  el  anilisis  cslricto  de  cstos  riesgos  puesto  que.  si  bicn  otros 
podrian  afcctar  relativamcntc  a  la  empresa  o  bicn  cau carle  pcrjuicios  dc  diverse  tipo. 
fttos  podrian  ocasionar  un  vcrdadcro  desastre.  No  pretendemo*  ser  alarmistas  y.  por 
w puesto.  no  todox  lots  riesgos  analizados  lies  an  a  paralizar  la  empresa.  pent  inuslimo* 
en  tencr  muy  cn  cucnta  cl  anilisis  exhaustive  dc  cstos  riesgos. 


Riesgos  cn  la  eflcacia  del  scrvicio  informatics 

Entcndcrcmos  como  cficacia  del  scrvicio  la  realization  dc  los  trabajos 
encorncndados.  Asf  pocs.  los  riesgos  cn  la  cficacia  serin  aqucllos  que  alteren  dtcha 
realization  o  que  afeeten  a  la  exactitud  dc  los  rcsultados  ofrccidos  por  cl  scrvicio 
mformitico. 
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Rir*go  cn  la  tflcknda  del  *cr>  kio  informsitko 

KtMcndcrcmo*  como  eftcicncta  del  servicio  la  mejor  forma  de  rcalizar  to* 
proceso*  o  trahajo*.  ya  *ea  a  nivel  ccondmieo  o  tdcnaco.  prclcnliendo  coo  el  anilisis 
dc  CMO*  ric*£o*  mryorar  la  calidad  de  *rf*R-io  Hay  que  malieir  en  CMC  a*pccto  qoe 
detrrminado*  coni  roles  podrian  resullar  una  mejora  considerable  de  la  eflctcncia  del 
seniew  pent  igualmentc  podrian  resulur  ccondniKramcntc  poc»  rentable*  sobre  Kii> 
para  pequerta*  empresas  La  vakwacidn  de  dichos  controk*  dcocta  ser  anali/ada  per 
to*  rc'poovaNes  de  la  emprevj  en  cuya  mano  eslari  la  dccisidi  de  apticackta  de  lot 
miunos. 


Riesgo*  economic  o*  direct  os 

to  CuaiMO  a  csto*  riesgo*  *e  anali/aran  aquella*  posibilidadc*  de  dc*cmbo(s» 
di recto*  inadecuado*.  ga*to*  vario*  que  no  deberian  pcoducirse.  e  incluso  aqoelto* 
gas to*  dcrivado*  dc  acetone*  t legale*  con  o  san  conscntnnicn©  de  la  empre*a  que 
pudieran  tranvgredir  la  nuemativa  dc  la  cmprc*a  o  las  leyc*  vigertes  U.ORTAO). 


Riesgo*  de  la  srguridad  logicu 

Como  nesgo*  cn  segundad  logica  entcndcremo*  lodos  aqacllo*  que  povibtlilca 
acccso*  no  autori/ados  a  la  informacidn  mccantzada  mcdiantc  kcnica*  informitkas  o 
de  otro*  tip***  Incluircm***  igualmente  aquello*  inherente*  a  transmixionc*  pe*e  a  que 
qui/i  en  detcrminado*  dmbito*  de  apltcaridn  podrian  coostiluir  un  area  mdependtenie 
pero  que  *e  anexan  con  el  fin  tie  compactar  el  sistema  dc  anilisu 


Riesgo*  dr  la  veguridad  lidea 

la**  riesgo*  cn  cuanto  a  *eguridad  (i*ica  comprcndcrin  tod**  aqucllo*  que  actikn 
sober  cl  deterioro  o  aproptackm  dc  clemently*  dc  informacidn  dc  una  forma  mcramentc 

Ihh 

l>jda*  c*ta*  irea*  de  nesgo*.  el  usuano  podri  \  a  lor  at  cada  uai 
indepcndicntementc  *egiin  su*  ncccxtdadc*  Aun  asf.  *c  onudrran  como  mis 
importante*.  y  cast  podrfamo*  asegurar  que  tmprocindible*.  la*  Jo*  pnmeras: 

•  Riesgo  en  la  continuidad  del  proce*o 
-  Riesgo  en  la  cficacia  del  servicio 

pew  lo  que  cuaJquicr  anilisis  deberu  *er  comcn/ado  con  1a*  mi*na* 


www.FreeLibros.me 

<  Amvu>»  Al'«IWlAP»K»«MAnCAtNlASniMta  HI 


Tolas  c$Us  areas  estin  incluidas  cn  cada  am  twin  tie  aplicacidn  de  arurrdo  con  su 
epeciftcidad  scgiin  U  division  que  dimos  al  princtpio  de  mimcomputtdores.  redes 
ixalcs  y  PCs. 


25.3.2.  Valoracibn  de  resultados 

I  jl  autoguia  se  compooc  de  una  sene  de  cocxtionanot  de  consol.  DichM 
cucstionanos  podrin  set  contcstado*  mcdiaMc  dos  sistcmas  mtbeadot  en  lot  mismcw: 

En  el  primer  sistema  se  responderi  con  sf  NO  o  N/A  (NO  APLK'ABLfc  si  la 
rspuesu  no  lo  fucra  por  cualquier  causal  Em  os  cucstionanos  de  respoesu  di  recta 
tradrln  un  valor  numeric o  de  I  a  10  ancio  a  la  prepunta  que  habri  qtc  poner  en  el 
Ugar  de  la  respuesta 


CONTROLES 

Si 

NO  I 

s/»  | 

.IWe  la  insulaodn  equipen  dr  conumudad  en ' 
'{*»  de  cortes  de  rnrrgu  cocno  puede  ter  has 
rnicmas  de  alincac  >0n  minterrumpido ' 

' 

7 

1 

En  el  caso  de  que  se  dispusiora  de  UPS  (Sistema  de  Ahmcntacidn  nienumptda). 
tc  pondna  cn  la  casilla  del  SI  el  valor  7.  en  caso  cootrano  poodriamov  d  valor  4  en  la 
caulla  del  NO.  La  diferencta  de  saloracidn  puede  cstar  drtcrmuuda  porque  la 
tustencia  se  consider!  una  mejora  sustanctal.  sin  embargo,  la  no  esixeocia  podria  ser 
deescusa  importancia. 

En  el  segundo  sistema  no  exutird  un  ntimero  guia  de  ponder aciOn  y  serf  el  propso 
tsoano  quien  deberi  dar  una  valoraodn  a  la  respuesta.  General  me  Me  fa  estos  casos 
bs  controles  comcnrardn  con  la  prupoesta  EVaLOE...  y  la  valoracida  que  Kabra  que 
dv  estard  anexada  a  la  pregunla  con  kw  s  alores  minimus  y  mlsimo;  porcjrmplo: 


COMROIJCS 

!  *  . 

|  NO  J 

N/A 

1  tvalde  la  carga  de  intiqo  en  fpoca  aka  de 

1  froceso l Paija  el  resuludoen  la  casilla  no)  l-W  , 

7 

4  j 

i _ 1 

Como  habrd  observado.  umbien  se  le  indicari  cn  qoC  casilla  descra  inchnr  el 
trsultado  de  su  ponderacidn.  Dicha  pondrracidn  se  podria  obtener.  y  tfcdo  cl  caso  de 

L 
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la  prcpunu  del  ejcmpk>.  medunlc  el  mi  me  to  de  boras  extra*  del  personal,  hoot  de 
trahajo  de  lot  cquipos,  o  simplcmenie  mediante  obtervacidn  personal  en  lot  catot  qte 
fuera  potiblc.  Una  vea  fmali/ado  el  cuettionano  se  sumarln  lot  vaJorts  de  la  caula 
Si  y  te  rcst.ir.1n  lot  del  NO.  lo  que  nos  dart  un  valor  que  podrcmos  comparar  con  lot 
ctiindare*  del  cuettionano  (que  el  Utuano  habri  valor  ado  en  un  principio). 

Pot  dltimo  exivtirin  algunas  cuestionet  que  no  tcngan  valor  aciOn.  uno  que  irto 
acompaftada*  de  un  astensco.  F.ttot  controlct  son  cunsiderados  de  alto  rietgo.  >  por 
lan to  indispensable*.  La  idea  c*  que  un  title ma  sin  csios  controlet  podrfa  abocar  al 
detastre  informal ico  y  en  algunot  cases  al  detaslre  de  la  empreta  En  ocasioaes  no  le 
da  b  dcbida  important u  a  lot  mitmot  y  sobmenie  se  ponderan  en  lo  que  talea  al 
ocumr  el  problem*  Por  lanto  intitumot:  estos  controlet  deberin  lenerte  may  a 
cuenta  a  b  bora  de  rcali/ar  la  evahiackki  y.  en  cato  de  incxistencu.  dar  primacb  a  w 
implaniacidn. 


2S.4.  Ml  NICOM  PUT  ADORES  E  INFORMATICA  DISTRIBUIDA. 
RIESGO  EN  LA  EFICACIA  DEL  SERVICIO 

informAtico 


OONTROI.KS 

1  sT] 

NO 

Za 

|  t.xiaen  planes  a  largo  pla/o  par*  rl  drpMtamalo  dr  informfcica 

Valore  b  concxtdn  de  etot  planet  coo  lot  planet  grneralet  de  la 
leaprwa 

R 

: 

— 

|  C'ubrm  lot  planes  del  D.l  ten  objttitot  a  largo  pla/o  de  b  empreta. 

|valdrefc». _ _ _ 

L 

□ 

1  Exitien  planet  a  largo  pb/o  para  el  dcporumrnlo  de  infoonllxa 

Valor*  la  coaexida  de  etot  planet  con  lot  planet  penrrales  de  U 

□ 

" 

t'ubren  lot  planet  del  D.l.  lot  objrtivot  a  cono  pb/o  de  la  empreta. 
valOrek). 

1 

j  K  title  un  cormte  de  pbmficacido  o  tfaecctdn  del  departamenlo  dr 
ImformUica  . 

1  f 

LJ 

i  Dtcho  com  Id  ctli  comporOo  por  dtfcctivot  dr  drpMtamrtMot  dej 

i 

j  F  t  isle  en  the  ho  comild  alpiin  nvcmhro  con  conocimientot  ^ 
1  informttieot  exhausiitot. 

J 

_ 

□ 

LI  conuie  reali/a  algun  tipo  dr  rtludto  para  anali/ar  U  coherent  ia  de 

1  tu  depunamrnto  de  inJormacido  con  lot  avances  KxoolOpeos 

- 

_ J 
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CONTROLES 

Si 

NO 

VA 

Valore  l»  cclcrtdad  cn  U  ireplantaoda  de  las  rrcomeadacaonrt  del 
comitd  informMico 

Q n<  importance  te  atigna  La  drreccidn  de  U  cmprrta  >1  cocnii t! 
dueccida  de  mformfcaca 

Valore  la  congruence  eot/e  lot  planet  a  largo  y  coeto  ptaxo  del  0.1. 

Sen  adetuadot  lot  rccurtot  atignadot  al  D.l  pan  eampiir  con  lot 
cbjttivo*  a  coeto  pla/o 

— 

— 

Baltic  una  adecuada  via  de  comueacacidn  y  control  de  cumphmicnlo 
dc  objetivo*  a  coeto  y  largo  pla/o  por  parte  de  la  dirccetdo 

Valuer  La  prcctsida  en  el  cumpiumento  de  lot  planet  a  coeto  pla/o  del 
HI 

— 

□ 

Britten  polltKat  pan  La  plaairicaci6n.  control  y  etaluacida  del  D.l. 
FtaMc  la  inttfracida  de  Lit  daeectavat  de  poldica  de  alu  diremadn  ea 
dDI. 

- 

— 

n 

Eaisten  ettindaret  que  rcguSen  la  eiplotacadn  dc  rccurtot  del  D.l. 

F.iatue  la  calxlad  y  tigcncu  de  lot  etliadarrt  de  eaptotacadn  de 
itcunot  del  D.l. 

— 

tta»e  el  cumptinucalo  de  lot  ctUadaret  dr  rxplotacida  de  rccunot 
del  D.I. 

F.tuten  procedumeMot  tobre  Lat  retpontahtlidadcv  pelioonet  de 
tetvKio  y  relacaonet  enlrc  tot  diferrntet  departamenten  y  el  D 1. 

Dtbot  peocedimientcn  ettia  adrcuadamrnce  dittrihndot  en  lot 
dferentet  deportamentot. 

Ftalde  el  ctampitmartMO  de  dtchot  peoccdunientot  pee  parte  de  Lot 
diferrntet  departamencot 

U  D.l  etti  te  par  ado  organic  amente  en  la  eilnacttan  ocginica  dr  la 
enpreta. 

F.t  indeprodicntc  U  ubtcacid o  del  DJ.  de  lot  otroi  depaetamentot  de  la 
crrprrta. 

F.ttlo  clarametMc  defimdit  lat  ueadadet  organi/ativan  ea  H  D.l. 

Fata  teparadat  lat  iHudadct  dr  detarrollo  de  uttemat  y  explouofa 

Folio  teparadat  lat  uatdadct  de  expiotaoOo  y  control  de  dalot. 

“ 

— 

Fain  teparadat  lat  unadadet  de  adnuniuracidn  de  batet  de  dalot  y 
detarrollo  de  uttemat 

Ft  aide  la  independence  de  la*  funciooet  del  pertonal  entre  lat 
diferrteet  unadadet. 

t 
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CONTROI.ES 

1? 

NO 

LEmtt  una  dcvrripcidn  por  event  o  (manual  Jc  operaciooev  y 
proved,  imcncoi)  Jc  cada  pucuo  dc  trabujo  01  lai  difcrcnlci  unidadev 

IdeD.n 

iLa  dncnpctOn  del  panto  de  irabajo  incluye  definieionei  dc 
coooomtcntoi  y  pcrxu  Hcokoi? 

cLm  manualo  dc  opcracioon  y  procedimicntcn  paiaa  ana  reviiiOn 
minima  aaual? 

haute  un  mClodo  dc  cvatuaaOn  para  cutirir  lat  *  ucantei  del  1)1? 

l-.taMc  la  adccuacite  del  metodo  y  political  dc  Kkccida  para  cubrv 
U»  aetcdichat  vacantc*. 

Uvalde  la  conformtdad  del  penorul  del  D.l.  con  lax  political  y  cl 
interna  dc  iclcccidn 

,  Iaimc  una  politica  dcfiaida  per  la  dtrccvido  del  D.l.  para  ptutrexiOti 

— 

hialdc  la  conlormidad  del  pcnocal  del  D.l.  con  Ian  political  y  cl 
liitcma  dc  pcomocida. 

,1-aimc  un  programa  dc  ohcntacidn  fomucidn  y  rcciclajc  dc  pcnotul 
dc  plamilla? 

c'l'icnc  una  rrviuOn  al  mrooi  anual  dicho  programa  dc  rcciclajc? 

,  Sugwnc  cl  programa  dc  rcciclaje  al  menon  cl  IM  del  preiupucMo  del 
D.l? 

Valor c  la  (ormandn  interna  rcciboda  cn  cl  programa  dc  rcciclajc. 

cCuil  ci  la  valoracidn  que  da  cl  pcnotul  al  programa  dc  formacidn  y 
rcciclajc? 

i  CootraMc  y  evalue  la  adccuacidn  emre  las  ftchai  dc  (ortroodo  del 
pcnotul  y  Ua  cxigerxun  dc  conocinucnloi  o  perkta  ncccuria  dc  loi 

.Kuuc  algdn  metodo  dc  control  y  evaluation  dc  comccucadn  dc 
,  objetiuo*  dc  cada  pucuo  dc  trabajo? 

j  i lltdi  informodo  y  comprcndc  cl  pcnotul  el  Mitcnu  dc  cvaluactOn 
!  xebec  convccucidn  dc  objctiioi? 

J  uvtc  una  livta  dc  apiicacionci  dc  tratamiento  dc  datoi  cuya 
explotactoo  nti  programada  rcgularmcntc  ? 

_ 

i$c  ctpccifica  cn  dicKa  Inta  ticmpoi  dc  perparaeido  y  tratatwcMo? 

,.Sc  coctravta  dacha  Inta  con  cl  alvei  dc  acucrdo  dc  wrvkio  del  D.l? 

~ 

I-ximc  algda  interna  dc  control  para  la  carga  dc  irabajo  del  D.P 
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CONTKOLES 

Sf 

NO 

N/A 

,Hj  cttaMecido  d  D.l  pnondadet  de  tratanurolo  de  kw  difcretMet 

Evililc  U  carga  dc  train  jo  del  D.l.  n  fpoca  hi)J  dr  procrto  Ipoaga  el 
rrtuliado  en  no). 

Evaliie  la  carga  de  irabajo  del  D.l.  «  <poca  aka  de  peoccto  (pone*  cl 
retukadocntD. 

Evaliie  U  capucidad  de  Ioa  equipot  ditpoeublcc  para  talitfaccr  U 
•Jcnunda  en  la  fpoca  alia  de  peoccto  (rctukado  en  if) 

Evaliie  el  exccto  de  capacidad  de  lot  cquipot  ditponiblct  para  | 
talitfaccr  la  denundarn  la  fpoca  baja  dr  prorrvolmuliadocn  no) 

..Oaf  vakxaciOo  Ic  dan  lot  lraba>adorrt  del  Jrca  dc  explocandn  a  la 
divponiNlidad  de  cquipot  en  fpoca  alia  de  trahajo  (rctukado  pOMtivo 
en  \i  y  rctukado  negative  en  no)? 

Evaliie  la  capacidad  de  lot  recurtot  humanot  para  tatnfaerr  la 
demanda  en  la  fpoca  alia  de  peoceao  ( revultaJo  en  tf> 

Evaliie  el  cxceto  dc  capacadad  dr  lot  recurtot  humaoot  ditpoaiMet 
para  umfaccr  la  denuada  en  la  fpoca  baja  de  proccto  (rrtuliado  en 
■o). 

,  O af  valor  a:  km  le  dan  kn  trahayadoret  del  frea  de  exptotacida  a  U 
Jivponibilidad  de  recurtot  humanot  en  fpocat  aha*  de  irahajo 
(rctukado  potilivo  cn  \l  >  rcuiltado  negative  en  no)? 

,  Kxitle  un  calendaoo  de  mantrmrmenao  prevennvo  de  malcnal  o 
logical? 

.  Se  t  erifica  <fjc  dicho  calendar io  no  inckrya  miticoet  en  prriodot  dr 
carga  aka  de  tnbnjo? 

cfct  cl  ealendario  de  cxploiacida  lo  vulx  icracmcntc  ilexiMe  como  para 
xomodar  nempot  de  no  functonairurnlo  a  fin  de  rraluar  reviuunet'1 

.Rrali/a  la  direccido  del  D.l.  un  control  y  teguuraeeto  del  fltijo  de 
tratiago  y  de  las  vanacionrt  del  ealendario  de  e»pkxaci<5n’ 

iSe  rcgittran  lax  vanacionrt  del  ealendario  de  exptotacida? 

,  Butte  nulenal  de  recambio  para  el  iraUnueMo  de  programat  quo 
exijan  alio  nivel  dc  ditpombilidad'' 

.(-title  un  proccdimicnio  para  cvaluar  lac  cauvat  de  loc  pcoMrnut  dr  i 

1  tmanuenio  de  datos? 

.Em tie  un  rcgitiro  dc  problemat  de  iraearmenio  de  dalot? 

Ii$e  toman  accionrt  direciac  para  evitae  la  recunxocu  de  lot  problctnat 

Ide  iratanuenio  de  dato*? 
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CONTROI.ES 

sl  no  |  m 

a  F.xittr  una  prranignacida  para  la  tohaodn  dc  proMetaot  etprcifkot  dc 
(ratamaciico  dc  dotot? 

iSc  ha  dctcnmaado  uni  poondad  cn  la  mducida  dc  pcoblcraat  dc 
tralamknto  dc  datai? 

iEintc  un  mvcnlano  dc  coatenido  dc  la  bibixAcca  dc  wpoflo’ 

,l'-»ntc  un  procedimacMo  para  intcnunar  lot  cooernidot  dc  la 
bibixMcca  dc  toportct? 

.FjiUf  algdn  rctpontaNr  dc  maMemnvcnto  dc  la  IhMicAccj  dc 

KvaMe  la  cnactitnd  del  icvcnurvo  dc  la  biMiotcca  dc  toponr 

,  .Idmtifican  lav  du^vUt  dc  lot  topnetet  oomhre  dc  arctuvo.  fecha  dc 
crcacida.  prograiru  que  lo  crcd  y  periodo  dc  reteocidn  dc  topoile? 

.F.tittr  algdn  littcma  dc  control  dc  cotrada  y  tahda  dc  la  babliotcca  dc 
ioportc’ 

iEu«  un  proccdinacMo  dc  telcccidfl  dc  logKal  accede  coo  lo»  planet 
a  cono  y  largo  pUro  dc  La  crapma? 

,Sc  llcva  a  calm  dicbo  procedtfmcnco  a  la  hora  dc  anali/ar  nrertidadet 
dc  logical? 

Ft  aide  la  talnfaccida  dc  lot  inuartcn  dc  to  ft*  arc  rctpcclo  a  la  dltinu 
adquoicida 

,  F.»iiac  atgun  proceditiacmo  dc  pniefea  antet  dc  efectuar  cambtot  dc 
logical  dc  liflemaa? 

jF.titac  alguna  pertoaa  rtpccialuada  cn  implement*  «>n  dr  logKal  dr 

iEiiiae  algdn  regiuro  utre  lot  camhiot  rcaliradot  tobrr  cl  logical  del 

.Kmtf  algiln  proccdiimrolo  dc  tcvitadn  dc  cambto  del  logKal  dc 
titacmat  antet  dc  patarlot  a  ctplotaodn? 

tF;»itlc  algtin  rrgitiro  dc  proMetnat  dc  logical  dc  tMeimt? 

- 

— 

,Sc  Hlcniilkan  y  rcgitlran  cxhauttitamcnlc  la  gravrdad  dc  lot 
proNerrut  dr  logKal  dr  titarma.  la  cauva  y  tu  rctcdoctOo’ 

aggaasgttflMajj 

■ 

■ 

■ 
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CAFTRUjO  a  ALDITOftIA  INtORMATKA  EX  LAS  PVMtS 


controi.es  I  si 

NO 

VA 

kK>  wdo  dctarrollado  drcho  plan  coojunlammtr  poc  cl  drpinamrtuo 
dc  infdrmMrca  y  la  dircocidn  de  lot  deparlamenlot  utuanot  afcctadot? 

— 1 

,( coccmplj  dicho  plan  la  accptandn  de  ctliniaret  dr  implantacidn. 
convert  ido  y  prucbat  en  redet  infoemkicat  divtribuMUi'’ 

tKa  udo  detarrollado  el  logical  del  tittema  dc  acuerdo  con  la 
melodologia  del  ciclo  dc  dctanollo  dc  mlcnut  dc  la  orgaiu/acidn  o 
mediame  una  melodologia  cimcniada  y  rcconocida? 

,  Ire  It.  ye  cl  plan  dc  implanlacido  o  corner  MOO  dc  la  red  dc  infomtdlica 
dntnburda  a  todo*  lot  otuariot  produclorct  dc  datot  imprctcindiblct  ’ 

,Se  ha  coertrmpiado  cn  cl  plan  cualquier  rictgo  ctpccial  atoctado  a  lat 
redet  divinhuidat’ 

.Kvivicn  pcoccdimicniot  dc  control  gcnmlct  dc  la  red  dc  inform* ica 
dttribuida? 

■ 

tSe  reali/arin  die  hot  proccdamicncot  dc  conlrol  con  una  penodretdad 

.Eutte  un  control  dc  actividadct  ctcepciorulet  que  tc  pudicran 
rrali/ar  cn  la  red  dc  I  D.? 

4lla  ctiaMcctdo  cl  dcpailamcnto  dc  inforrniixa.  detde  la  implantacidn 
dc  la  red.  un  mccanitmo  para  aicgurar  la  compalibrlidad  dc  conjunto 
dc  datot  entre  aplxacionct  a*  .tcccc  la  rratma? 

tSc  han  ditinbuido  a  lodot  lot  dcportamcntoi  afectadot  dcclaracioact 
cxriut  dr  proccdimcniot  oprralivot  dr  la  red  dc  1  D.? 

J  uki  adccuadamcntc  canaliradat  lat  prociooct  dc  canthtot  dc 
Frearedimientot  operatitot  dc  b  red  dc  I.D.? 

tL»iite  algdn  control  tobre  cambaot  auronradot  o  no  cn  lot 
feocedimienlot  operslitoi  dc  la  red? 

.Son  anali/adot  lot  cambtot  dc  lot  pfocedrmecnlot  operative*  para  vet 
u  rrtponden  a  nccctidadct  realm  dc  lot  utuanot 0 

1 

4 Ha  cttaMccido  cl  departamento  dc  mfocmltica  cootrolct  tehee 
•Miracidn  dc  lot  comrnidot  dc  lat  hate*  dc  datot  dc  la  red? 

t'Wguran  drehot  cootrolct  la  ettandm/acido  dc  lat  dcfinioonci  dc 
datot  comport  idot'’ 

4 Sc  manliencn  dicciooanot  dc  datot  cormmrt  a  lot  difereruet  utuanot 
drUthatetde  datot? 

JuJ  ategurado  cl  control  del  cambvo  dc  dcfinkidn  dr  daicn  cornu  net 1 
debt  bate*? 
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CONTROUS 

si  !  so 

VA 

4  butte  un  vivlema  cficar  para  entar  qix  k»  utuanot  cambtrn  Ij 
tkTinicifa  dc  dalot  comutte’.  dc  lat  ham'1 

.In*  ana  comumcacvOn  regular  tnhcc  cambio*  efettuadov  co  la. 
ham  dc  dalot  comone*’ 

. 

.butte  algtin  victema  dc  control  que  avogure  U  compatibiltdad  dc  lo. 
conlcnidot  dc  lat  ham  dc  dalot  dc  la  red? 

,  button  oontrolev  ctlahlecidm  por  cl  dc  portamento  dc  informitici 
tuber  ulili/acxVt  dc  conietudo  dc  lat  ham  dc  dalot  dc  la  red  ' 

;  butte  algun  pcoccdmiicnto  dc  control  vobre  lot  camhiot  dc  conlcntd* 
v  proccdimtcnlo  dc  die  hoi  camhiot  en  lat  bam  dc  datot  dc  la  red? 

cl.uvte  alfila  control  que  ategurr  que  lew  camhiot  uttroducidot  co  lo. 
conlcnidot  dc  la  hate  d#  dalot  manticncn  la  compalihilidad  dc  die  ha. 
ham’ 

.butte  algilo  pnxcdimicnto  citahlcctdo  que  ategure  en  todo*  lo. 
punten  dc  la  red  que  lot  Cambios  critic  ot  en  lot  coolcnidot  dc  lat  have, 
vc  lleten  a  caho  con  puntualidad  ’ 

,.Sc  ha  evUMeevdo  ana  polltka  para  tdenlincacido  y  clatifkaCHta  dr 
datot  vcntiMcv  dc  la  red? 

.buvten  mecaaitmot  dc  tegundad  q«ac  imptdan  introduccioevet  • 
modifkacionct  cntacat  de  dalot  temiMex? 

.butte  algun  mecanixmo  de  control  que  ategnre  una  adecuada  cargi 
de  la  red  etpcculmente  en  lot  periodot  de  trahajo  critico  • 

,.Se  han  cvtablccido  y  oomumcado  a  lot  utuanot  proccdinucnto. 
efevtivot  para  coocdtnar  la  opcracidn  dc  lot  programat  de  apticacKtn  • 
la  utilizacrdn  dr  lot  contenidot  de  lat  B.D? 

.Poteen  todov  lot  utuanot  de  la  red  etpecificacioact  voter 
dnpoaibilidadex.  horariem.  (tempo  dc  ropuevta.  alnuccnamicn«\ 
retpoMo  y  control  opceuiivo? 

iSc  realiran  rcuruooct  pmddicat  cnirc  lot  utuanot  para  coorditaa- 
calcndanot  dc  caplotacidn.  ctpcciftcacionet  dc  tratamiento  • 
procedi  mientot  opcraiivot’ 

.livtablccea  lodat  lat  inttalaciooct  de  dcpirtameotot  utuanot  de  la  red 
pret  i  nonet  vohre  nccctididct  dc  material  fungible'1 

,  F.vitte  viempre  un  rcnuncmc  de  material  fungible  que  ategure  li 
conlinuxiOn  dc  lot  peocevov  en  lot  deparuenentov  utuanot’ 

.buueo  pnxedimtentm  cttablecidot  poe  el  depirtamento  dr 
informttvca  para  la  gettidn  y  control  del  logical  dc  comumcacvonet' 
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COVTROLES 

si 

NO 

VA 

,1'Un  inchudos  cn  die  ho  proccdinuento  ctlindares  sober  U 
utiliracido  dc  die  ho  logical? 

,  Sc  ban  rcrmisdo  descnpoooct  esenus  sober  los  ertados 
proccdinucMot  a  lodos  tos  depanamrotos  utcanot’ 

L 

,.Sc  turn  cttahlecido  pnondadcs  dc  transtmtida  asignadat  a  los 
mensajet  enviados  por  la  red? 

Ks  aide  L>  talitfaccidn  dc  los  utuanot  sober  las  transousnocs  a  Bases 
de  la  red.  sober  todo  cn  periodos  cn'tH  os 

|  ,.Exitlcn  planes  dc  formaetdn  para  usuanos  dc  la  red? 

1 ,, Existed  responsabics  qoc  cvaldcn  cl  coerrdo  uso  dc  la  red  por  pane 
|  dc  los  usttarios'1 

,  K«Un  pcrfcctairmttc  tdettiricadas  lodos  los  drmcMas  Iisicos  dc  U 
red  (unidadcs  dc  control,  modems  cables  etc.l  medsante  etiquetas 
estemas  adeevadas’ 

j  ,.l;sU  asegurando  cn  an  iMinpo  prudential  la  repiracidn  o  cambio  dc 
clrmcntos  ffsicos  dc  la  red? 

,  ,.Sc  rrali/a  por  pine  dr  personal  rspcculi/ado  ana  revision  penddica 
de  lodos  lot  clcnxntos  de  U  red’ 

.  l.sistc  ilpin  ttsicma  para  controlar  y  mcdir  d  funoorunurnlo  del 
wstcmi  de  informitica  distnbaida  dc  la  red? 

|iExis*e  uni  cstructurj  qoc  asegure  qoc  la  esplotacido  de  mAxima 
pnorxlad  sc  lieva  a  cabo  y  sc  transmilc  cn  primer  lugar’ 

LSc  ban  desarrollado  o  adquindo  protcdinucnlot  automMicos  para 
resotser  o  csitar  oerres  del  si  stem*  (thrum  morales  l’ 

J.sisle  una  rutina  qoc  asegure  qoc  ningvln  proccso  o  date  dc  tu>a 
pnoTKlad  va  a  CMar  tin  prwesar  mdcfinidimenlc  cn  la  red? 

□ 

1  ..Existcn  nsevamsmos  qoc  coMroicn  lot  txmpos  dc  respucsla  dc  la  red 
| )  la  duraeidn  dc  los  Ull.it  dc  operation  dc  la  nmni' 

|  iSc  conirolan  regularmcntc  lodos  lot  proeexadorrt  dc  la  red’ 

□ 

25.5.  CONCLUSIONES 

Dado  quo  cn  los  resumes  capctulos  dc  CMC  hbeo  sc  abcnda  Ufllo  la  audiloria  de 
otros  cntoroos  ( music  omputadorcs.  Redes  dc  Areas  local  y  PCs)  esmo  vus  Areas  de 
riesgo.  cn  cl  presente  cap(tuk>  nos  hemos  linutado  unicamcntc  a  amli/ar  la  auditors 
dc  los  nunieomputadorcs  con  rcspecto  a  los  nesgos  cn  la  cfictcia  del  xcrvfcfo 
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information  deturo  de  una  PYME.  sicndo  aplicablc  esta  metodologfa  a  cualquicra  de 
lot  ottos  entocnos  mformitKOi. 

Hn  cualquicr  case.  xiempre  qoe  se  lleve  a  cabo  una  auditor!*  dc  empress  habrin 
dc  tcocrse  cn  cucnta.  como  minimo.  lot  siguicntes  controls  generates: 

Segrvgactdn  dc  funcioncs.  separation  de  lot  entomos  de  desarrollo  y  produccidn. 
control  dc  programas  fuentes  y  objetivos,  proccdimteMot.  coindarcv  o  nomcnclaiura 
pan  toda  dase  dc  objetivot  cn  el  ustcma  de  Informactdn.  plan  dr  scguridad  Idgica  y 
flsica  (copia  de  BACKUP  o  rcspaldo  dc  darns  y  programas.  plan  dc  contingcnria.  etc.) 
y  plan  informitico  coordmado  coo  cl  plan  cstratCgico  de  la  compaAfa. 

Tanto  a  travds  dc  la  gula  de  autocvaluaodn  como  a  travfs  de  la  auditorfa  de  h» 
mencionados  controles  generates  sc  puede  alcan/ar  cl  objetivo  dc  geslido  y 
cettificacidn  de  lot  dal  os  log  rondo  conseguu  la  calidad  total  de  lot  Sistemas  dc 
Informacidn.  rcntabtli/ando  as!  las  insersioncs  cn  Tccnologla  de  la  Informacidn. 
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25.7.  CUESTIONES  DE  REPASO 

1 .  i,Po»  quC  tienc  tanta  rcpctcuswin  la  auditoria  infonnitica  dc  las  PYMES? 

2.  cQut  tipo  de  metodologU  dc  auditoria  infonnitica  cs  mis  adccuada  pan  las 
PYMES7 

3.  Enumcrc  k*s  pnncipales  nesgos  en  la  continuidad  del  peoccso. 

4.  iQu i  enliende  po»  eficacia  del  scrvicio  informitico? 

3.  fcA  quC  nesgos  ccondmicos  direct  os  sc  enfrentan  las  PYMES  debido  a  la 
LORTAD? 

6.  ,.C0mo  sc  puede  evaluar  la  cargo  dc  traba)o  de  un  cquipo  informitico? 

7.  cC0nisi  iiksIhIa  U  satisfaction  dc  lo»  uumusoa? 

8.  Segregation  de  funcioocs  cn  Us  PYMES. 

9.  Elabore  una  Itsta  de  comprobactdn  para  auditar  un  computador  personal. 

10.  i,Cdnto  llcvaria  a  cabo  U  auditoria  dc  una  hop  dc  cilculo? 
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CAPfTULO  26 


PER1TAR  VERSUS  AUDITA K 


Jesus  Rivero  laguna 


26.1.  INTRODUCCldN 

"Nunca  segundas  panes  fucron  bocnas".  afirma  un  viejo  refrin  caste  llano.  No  c* 
tvtc  el  case,  sin  embargo,  de  la  segunda  edicido,  que  no  reiinprcsidn.  dc  Auditories 
Informdtica.  Un  enfoque  pniciko. 

El  <xico  dc  ventas  de  la  primera  edkidn  -inouvado  en  bocna  medida  por  el  hecho 
de  haber  sabido  dctectar  sus  Coordinadores  una  imperiosa  necesidad  de 
*cw*ocimietilo“.  ademis  de  por  haber  conseguido  rccoptlar  una  cutdada  y 
cnciclopddica  selecctdn  de  temas  y  autorcs.  avals  el  obligado  lan/amiento  de  esla 
emu  ivbra.  con  objetivos  mis  alii  del  perfcccionanuento  de  la  pnmera  svrsidn  de 
1997. 

No  me  conesponde.  pese  a  todo.  a  ml.  y  mucho  menus  en  este  lugar.  discutir  la 
iportaodn  cicmffico-dtdicticu  dc  csta  nueva  obra,  ya  foese  tanto  en  so  vertiente 
aceddmica  como  profcsional.  si  bien  be  estimado  oportuno  comciuar  haciendo  esia 
~iatroducci6n".  habtda  cuenta  de  que  no  existla  tal  capilulo  accrca  de  kxs  Informes, 
[hodmen es  y  Pentojes.  Judicialrs  y  Extrajudiciales  en  la  edicidn  original,  m  por 
supoevto  accrca  de  los  profesionaies  -con  actividadcs  afmes  a  las  de  los  auditorcs-. 
que  los  cmiten  a  peticion  de  tcrccras  panes 
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Aplaudo.  pucx.  cxtc  bucn  criterio  <lc  Ion  Coordmadorcx.  cn  pro  dc  utu  plena 
exhaustividad  dc  xu  cootcnido  inicial.  confiando  «Mo  cn  que  mi  deeixidn  tambkn  ha) a 
xido  pertinence  al  peoponerme  la  redaccidn  dc  lox  apartodos  que  xiguen.  donde  he 
tratado  dc  condenxar  parte  dc  mi  "capital  intckctual"  cn  exta  area  dc  conocimienco, 
alCNorado  incqulxocamcntc  cn  cl  Rjcrcicio  Libre  dc  la  Profexidn  (KLP»  cn  el  Cokgio 
Ofkial  dc  Ingemerox  dc  TekcomunicacKSn,  corno  Cat  Ingenicro  dc  Tclccomunicockwi. 
expcciali/ado  cn  el  dmbito  judicial  y  extrajudicial  dc  lax  Pcniocionet  en  Tecnologfax 
dc  la  Informacidn.  o  dc  lax  ingemeriax  inlomvilica  y  dc  tclccomunieacidn.  no  carcnic 
dc  poMcriorcx  imeiaiixax  format  ixax  dc  poxlgrodo  y  profexHxiakx  en  cxrc  cooiexto,  cn 
diverxox  imbitox  dc  actuacidn.  privada  e  inxtiiucional.  udemas  dc  axocialiva. 

En  cl  primer  capllulo  dc  la  primera  edit  160  dc  cxia  mixina  obra.  su  autor  -Alonxo 
llemdndc/.  Garcia-,  comcnuba  dicicndo.  “Dcfirnd  y  no  dixeulirfo.  Y  aun  sin  la 
prcccnxidn  de  que  lo  que  sc  expongu  cn  cxrc  capflulo  xea  indixeutiblc.  parece  muy 
convenicnrc  dclimilar  cl  campo  en  que  nox  descnvolvcmox".  Pucs  bicn.  xerfa  dc  ncciox 
no  apltcarse  la  rcccta:  por  elto.  y  antes  dc  aponar  conocimicnrox  cxpecifkox  al  lema 
objero  dc  exte  capiiulo.  dedkard  un  pnmer  apartodo  a  “dclimilar  cl  campo".  antes 
incluxo  que  a  “defmir"  conceplos. 


26.2.  CONSULTORES,  AUDITORES  Y  PERITOS 

Si  cl  marco  dc  comunkacidn  con  ustcdcs.  amigos  Icctores,  no  fuexc  el  formal  de 
un  texto  excriio.  me  permitiria  la  licencia  dc  relutorles  en  dclallc  -como  acoxtumbro  a 
hacer  cn  mix  confcrcncias  y  cursos-.  aquel  ctiixlc  dc  "la  cigaira  que  xc  dirige  al 
Ctmsulior  para  prcguntarlc  qud  deberia  hacer  para  »iitr  como  una  hormiga.  siempre 
felir.  trabajadora  >  abxolutamenic  pcoductiva"  Scguramcntc  conocerin  el  dtttnhxt 
“el  Consultor  focturd  a  la  cigami  sux  honnrariot  xdlo  por  moxrrurlc  un  Plan 
Euraitgico.  dejandole  a  ella  cl  probkma  dc  c6mo  dcsarrollar  el  oportuno  Plan  Tdetico 
dc  ejccucirin". 

Cicrtamcntc.  he  podido  conxrator  cn  repetidas  ox'axioncs  edrno  lox  mixmox 
profetionoks  confunden  y  xuperponen  lox  compos  de  aclivtdad  dc  extax  ircx 
expccialtdadcx:  conmlwria,  autliioria  v  ptruactf*  1  Sin  embargo,  sus  func tonal idadex 
extan  bicn  dclimitadax.  y  dcxde  luego  xux  compel enaav  ocluacioncx  y  “produclox". 
por  lox  que  facturan  y  xc  lex  abonan  lox  oportunox  honorariox. 

Dc  hccho.  cxistcn  rigidax  frontcrax  cxtabkcida.%  incluxo  por  mandates  juridkox-. 
que  impiden  simulunear  a  un  mixmo  profcxional  ~o  Compaftla-  dmbitox  dc  octuaobn 
xuperpucslox  con  un  mixmo  clicnic;  ex  decir.  prcxtarlc  un  xcrvkio  como  “consultor",  y 
antex/dexpudx  como  “auditor".  Conxccueneta  de  cllo  ban  xido  lax  cscixioncx  a  nivcl 
mundial  de  lax  grandex  flrmax  dc  Conxultorcx  y  Auditors*.  para  dar  cobcrtura  legal  a 
xux  rexpectivas  dreax  dc  negoexo.  cspedalmcnte  con  dcicrniinados  clientex 
cxiratdgkox. 
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Hernandez  Garcfa.  cn  el  captiulo  antes  aludido  (“La  informittca  como  hcrramienu 
■id  auditor  financicro”!.  jfimu,  haMando  tic  la  auditoda.  quo  aunquc  d  "ctmeepto 
pemunccc  inamnvible.  lo  quo  d  pocdc  variar  cn  mi  objeto  y  finalidad".  tic  ahi  quc 
uioan  “confusioncs.  unto  cntrc  Ion  difercnto  aNpcctos.  ircas  o  cnfoqucN  cn  s( 
aittnot,  como  por  1»n  dcbtdas  a  la  vcrtiginosa  cvoluckVn  quc  cxpcrimcnu  la 
etpcculitlad". 

Aunquc  no  volvercmo*  Nobee  lo  ya  tralado  cn  cMc  libco.  *1  utili/arcmos  por 
cohcrencia  nu  csquema  tic  discusidn  rational.  para  compictar  la  viudn  de  cofiNultorrs  y 
auditores.  con  la  dc  Ion  ptmot  Aol.  seguiremos  mantcnicndo  la  dcscomposKidn  dc 
‘ conccpto”  (PF.RlTACKiN.  cn  cMc  caso).  cn  uno%  determination  cIcmcntON 
(undamcntalcN.  a  saber:  contcnido.  condicidn.  caractcristica  temporal  (mtroducvdo 
tqui  por  primera  vex),  justificacidn.  objeto  y  finalidaii 


Tobin  26.1.  ContrxlualizacMn  dr  la  Frritacidn  “.  versus  lot  timhirot  profrsionaln 
afinrs  dr  lo  "Contulloria"  y  In  'Auditoria 

I -a  Tabta  26.1  moettra  cl  compendio  dc  Ion  ires  imbttos  prorcsionalcs. 
catcndicndo  y  pcrfcccionando  lo  ya  visto  para  la  consulted!  y  la  auditoda.  Nfti- 
damentc  sc  pone  dc  manificsto  la  scparacidn  conceptual  del  imbito  de  la  "pcnlacidn" 
con  rcspccto  al  dc  la  convultoda  y  auditoda.  ya  de  por  d  diferenciadus'.  aunquc 


1  HmuaaVr  Cnrtix.  A  koto  Mutorti  InformatKu  1997.  Tap  I.  pig  I0»  'Itprculmcntr  <■! 
(trocMii  diflmgvr  clmmrmr  It  autlilorii  dr  La  (analMU  Drpmiiendo  dr  qur  w  tonlrmOn 

m  opoar  sobie  not  ertokadot  n  dm  tnewruneMo  *> 
dcsMTidUr,  t*  uauri  dr  aoJacrU  o  comultorta" 


oxnrjo  to  rrtacida 
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exiuan  optnioncs  afirmando  que  “las  de^mc  tones  de  U  auditor!  a  iniormatica  tiendca  a 
cnglohar  el  conccpto  <le  consul  toria". 

Hniendemon  que  es  important  haccr  notar  edmo  la  accidn  de  peritar  porde 
soltciiarse  en  cualquicr  momento  del  proccso  global,  unto  de  emisidn  de  tin  “conscjo 
o  asesoria"  ( CONSUL  TORI  A ).  como  de  cvacuacidn  de  una  detemunada  "opinita 
objetiva '  (AUDITOR/A).  justanicnte  para  soportar  tdcmcamente  una  detemunada 
afirmacidn  (“opinion  subjetiva"  de  un  experto  en  la  materia,  o  periio).  acrcdiUndda 
como  tal  a  panir  del  "jukio  de  valor"  en  la  cucstkn  piantcada.  emitido  en  lodo  caso  a 
posteriori,  una  vez  establecida  la  "proposKidn  de  pnaeba"  y  aportadox  u» 
correspondientes  “elcmentos  expecffkm"  a  peritar  . 

Scparadov  poc  Unto,  los  tres  imbitos  de  actuacidn  profcsional  convergen  en  w 
upltcacidn.  quedando  daferenciados  en  todo  momento.  en  oeaxione*  con  carictcr 
imperativo. 

26.3.  DEFINIClbN  CONCEPTUAL  DE  PERITO 

Ij  peritacidn  o  pehtaje  cv  *egun  cl  Okctonano  de  la  Real  Academia  EspaAola 
de  la  Lengua.  el  trabajo  o  c studio'  t^oe  hace  un  perito.  para  quien  da  ue*  acrpcionet 
diferentes  o  definicioncs  aclaratoriax1  que  encierran  en  s<  misma*  malices  distmtos: 

a)  “sabio.  experimentado.  hibtl.  practice  en  una  ciencia  o  arte"; 


'  K«u  m«M  drfancMVt  -un  Mqlc-  .  dr  ~Vtbayo.  rwudto  o 

-  Gran  Oteeiemarw  de  la  lenfua  Fa/nrAola 

-  Oarlanario  Umi tal  e  tlmirrada  de  lent  am  ftpuSkr 

-  fcrwunn  General  VOX.  de  Im  lem  fna  Ftp* itold  e  liman 


-  Dacnmano  Ijmmlopeduo  Ft  A/A  A  JASfS 

-  Dkckooto  ARISTOS 


-«*c. 

’  La  mpfe  accpcxUi  «  nmnu  y  contMi  jfurudo  c>  dr  U  pdpaa  upmlc  mu  dr)  ojoccpo 
dr  Ferae  o  comln  a  bnumn  tmm  inctuw  bw  dnnnlax  re  up  oncniacxaa 

-  Omrnmarw  General  VOX.  dr  la  lenfoa  FjpMd  e  Maura* 

-  Dnmimi  iawbfiiUro  LOAF 

-  Gran  Lnetelopedta  LAROVSSt 

-  Fjaakpedmi  del  Sigh  XX 

hKulepedu  rmrltmnedta  PtASttA  AGOSI1M 
Fnctclopedt a  unnemrl  mieractiy*  CAJA  UAOKID 

-  Dktumarw  team  tvfdduo  ALFA.  de  SALVAT 

-  OtcKbpedM  LSCAKTA.  de  MICROSOFT 

-  FKKkfwdtJ  iatm>l  aMaclnx  dr  OOUJEJL  rlc 
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b)  "persona  que.  poseycndo  cspccialct  cooocinuentos  lebricos  o  prictico*. 
informa.  hajo  juramcnto.  al  ju/gador.  sobrc  puntos  litigiosos  cn  cuanto  sc 
relacionan  coo  su  especial  saber  o  cxpericncia";  y. 

c)  "persona  que  en  alguna  materia  ciene  tfrulo  de  tal.  confcrido  por  cl  Estado". 

A  los  credos  que  nos  ocupan  cn  csta  obra  apanaremos  la  acepctdn  c).  por  su 
component  academics,  vinculada  a  una  titulacibn  -umversitaria.  cn  general-,  sin  que 
dlo  quiera  deeir  que  no  sea  condicibn  tine  qua  non  su  posesidn  en  determinadas 
circunstancias. 

Tambkn  aparuremos  de  la  dtscusibn  que  prcicndemos  rcalizar  incialmcnte.  la 
Kcpcidn  b).  por  ser  limitativa  del  conccpto  gctkrico  de  perito,  no  for/osamcmc 
vmculado  a  aduaciooes  judiciales  en  su  quebacer  profesional.  pudiendo  ser 
"extrajudiciales  ”  u  orieniadas  a  la  "mediacMn  y  el  arbitrate". 

El  Dkcionario  tncklop/dico  SALVAT  a  porta  una  cuarta  accpcibo  de  conocida 
incidencia  en  nucstra  socicdad.  aunque  bien  pudiera  quedar  englobada  en  la  pnmera 
de  las  accpciones.  ilnica  con  la  que  de  bee  ho  nos  quedaremos  para  su  ditcusibn  cn  cslc 
apart  ado  Asf,  segtln  cue  diccionano  de  SALVAT.  un  Perito  cs  in  "prictKO  o 
conoccdor  dc  la  naturale/a  de  un  bien.  de  su  mercado  y  de  sus  caractcrfsticax  y 
aplkacioncs.  que  licne  por  objeto  arnbuir  un  valor  (lasaetdn  perietal 1 1  esc  bien":  no 
obstante,  rcconoce  que  “cn  ocasiones  cl  peritaje  no  contporla  tasackn  y  sc  limita  a 
rtunir  un  dktamen  accrca  de  sus  aplicactoncs  y  caracterfsiicas  tbcnicax" 

Qucda  purs  claro.  a  partir  dc  lo  expocsto,  cl  entorno  dclimtono  de  un  Perito. 
delimitado  por  las  siguienlcs  caractcrfsxkas  para  cstas  "personas": 

a)  con  (onoeimientos4  en  el  imbito  de  la  opinidn  rcclamada  tbava  el  Ifmite  dc 
calificarle  como  "sabto"'): 

b)  experimentadot.  tuego  alguicn  que  soporta  su  mforme  cn  viscncias 
adquiridas:  y, 

c)  hdbiles  o  prdetkos.  en  una  ciencia  o  arte,  capaces  de  ejccotar  y  valorar 
rcsultados  obtenidos  a  partir  dc  la  prueba  planlcada  cn  un  romexto  unto 
ckntffico  como  artistko.  segtln  los  casos. 

Dc  forma  sucinta.  podemos  encontrar  dcfimcionrs  de  perito  tuldntKamente 
sstegradoras  de  cstas  caracteristka*  preccdentes.  como  la  aporlada*  por  la  Gran 

'  Scgta  (I  IX\  nmuw  Jr  Marta  M Winer  "catoci 

'  Segun  cl  tXetnmano  General  ttuurado  de  VOX 

*  Kntrc  Him  dKCxaanm.  Islet  como: 

-  Eaeichpedtadrt  StftoXX 

-  nnnuw  del  Hi fatal  at  tool  de  AGUIAR 

-  Dieilonnno  emitkpeduo  SANTIUANA 


www.FreeLibros.me 

aonq«iu  iniokmatka  usB.TOQt'i;rKAcnco _ 


Encielopedia  LAROUSSE :  "Expcrto.  cntcndido  cn  uaa  ctcncia  o  aitc".  o  “cn  alguna 
raina  del  saber"  ( global iracidn  del  Diceionario  EndclopAiico  GRUALBO).  o  “  cs 
una  ctcncia.  ane  u  olicio"  (extension  de  la  Encielopedia  Multimedia  PI  AS  ETA 
AGOSTINI  y  de  la  Encielopedia  universal  tnteractiva  CAJA  MADRID). 


26.3.1.  Equi Valencia  con  la  denominacibn  de  “Experto” 

IV  acucrdo  con  lo  expucsto.  podru  inferirse  que  cl  tdrmino  "Expcrto"  e* 
uhsolutamcntc  equivalcnic  al  dc  “Perilo".  aunque  sea  este  ultimo  el  habitualmcnie 
utilixado. 

Un  rccorrido  por  lot  dtccionarios  dc  sindnimos  y  antdnimos’  refucr/a  esto  ultimo; 

-  sindnimos  dc  "Pcrito".  son:  experto.  dicstro.  hibil.  experimentado.  conoccdor. 
compctcntc.  cspccialiMa.  tdcnico.  practice  . 

-  antdnimos  dc  “Pcrito".  son:  inexperto.  dcsconoccdor,  incapo/-.. 

Lo  imsmo  queda  confirmado  coo  un  rccorrido  poe  diserxos  diccionanot  de 

ctpatol-inglds: 

-  "Pcrito".  sc  traduce'  por  “Expert',  cn  general. 

-  Scgdn  los  cases,  puede  aAadirte  un  calincalivo  para  prccisar  xu  cainpo  de 
actividad’*;  por  cjcmplo:  “computer  expert",  o  " expert  in  programming 
languages ",  Pcro,  cn  todos  los  cases,  cspccificando  que  sc  trata  dc  "alguica 
con  profundos  cooocinticntos  tobre  algo"  iexpert-person  who  knows  a  tot 
about  something),  o  desde  luego  con  "conocimicntos  cipeciales.  habtlidade* 
concrctax  o  formacirin  prdctica  cn  una  detenninada  parcel  a  del  saber"  ( person 
with  special  knowledge,  skill  or  training  in  a  particular  field)**. 

Un  iCrmino  altcrnativo  acuflado  para  los  "expenos".  aunque  mcnox  utilizado  con 
caricter  genCrico,  cs  cl  de  los  Peritos  forenses.  modus  veers  asociado  al  imbito 
judicial  y  cn  Areas  dc  conocimicnto  muy  concrctas  como  la  medicina  (caso  dc  lot 
"mdsbeos  forenses").  Dc  hccho.  cxistcn  categories  y  Areas  dc  peritaje  forense  pnvado 
que  sc  utiliran  habitualmcnie.  talcs  como: 

-  “peritos  forenses  de  grado  superior"  (desde  mddicos  y  psicdlogox  hatta 
ingcnicros  c  informAttcos.  pasando  por  liccnciados  cn  arte  o  biblogos); 


’  OtceUmnrto  tspaia  dr  SinAntmm  >  tatUnn  ISktiawano  Manual  dr  SwMtani  y  SauMm. 

'  COtJJNX  Pittumary.  Pufirmarr  of  tnfaemarum  Techmdogs.  He 
'  DkIs  oms  of  InfomuCKOL.  DKIloniry  o i  tnf,«mii.xi  Tteknolof)'.  etc 
'*  Oxford  Advanced  l/inin't 
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"peritos  forentes  dc  grado  medio”  idcvdc  ingcntcrm  tdcnico*  y  aparej  adores.  a 
censorcs  jurados  dc  cucnlas  o  lopdgraI.nl.  y, 

-  "peritos  fore  mo  dc  grade  t^cnico"  (dodc  pcrilot  caligrafos,  gcmiMogo*. 
filatdicos  y  numismilKO'.  a  agcnlo  dc  la  projnodad  mmobdiaria,  pcsadorcs  y 
mcdidoccs...). 

26.3.2.  Acerca  de  la  adquisicidn  de  ’  expertise" 

Memos  visto  edmo  cn  uim  primera  vertiente  conceptual,  o  defimtona.  podemot 
ciK.wir.ir  rctpucsta  al  conceplo  dc  “Pcnto"  cn  los  miumn  diocionariov  Tambkn 
hemot  vino  crimo  cl  kmutvo  "pcnlo"  -experto  cn  dclcrmmada  inaicria.  radicando  su 
valor  cn  Ion  "conocimienlos  /  experiencin''  qoe  "ponce  /  ha  adquirido"  no  lienc  una 
Oaduccidn  ptestsa  cn  otrus  Icnguat,  utili/.indosc  "expetf  -gcncralmcnic  asociado  a  su 
rama  cspcv'lftca  dc  cooocimtemo--.  por  cjcmplo  cn  las  Icnguat  onglosajonas. 

La  cucstidn  rrmanente  scria  cntoacct  ddndc  ha  adquirido  tm  t  xpenrncta" .  porque 
la  cxpcricncia  c»  bocna.  cuando  no  vc  compra  dcmasiado  cara“  I  Experience  it  good, 
if  not  bought  loo  dear)1''.  Ihcho  dc  olro  rtxxlo,  queremo*  cnicndcr  la  cxpcricncia  cn  cl 
vemido  dc  acomulacidn  dc  conocimieiMot  por  oiudio  y/o  vivcncias  dc  “hcchos”  no 
neccsariamcnlc  "fracatos".  cn  la  accpcidn  del  pocla  y  moralist*  francos  Paul 
AUGUKZ1 .  "la  cxpcricncia  o  la  suma  dc  nuolros  desengoAot" 

Nuotra  doctrina  poet,  irfa  milt  cn  comonancta  con  la  dc  Francisco  BANCKS 
CANDAMO* 

“Docta  o.  pero  pcligrota. 
ctcucla  la  dc  lot  yerros. 
si  cn  cllos  ha  dc  cnscAarsc. 

Porqoe  si  hay  dccodn  cn  cllos 
qoe  puede  costar  la  vida. 

,  p.ira  qud  o  la  coociencia’.'  I.oego. 

;feli/  quicn  esiodia  a  cotta 
dc  lot  errorct  ajenos!” 

Ia>  mismo.  con  palabras  similar.-..  nos  han  dicho  mochas  personas  desde  Tilo 
L1VK)'*  (Exentut  %  tultorum  magi  tier  etl).  hasta  Benjamin  FRANKLIN1*  (Experience 
leept  a  dear  School,  yet  foob  mill  leant  in  no  other). 


"  XIII  F*c«mtn> *ot*e  “tebvminc*  >  Dercht.".  ModnO.  mayo  IW  ‘IVnuyes cn  Tecnolof 1*. dr 
b  InfimiKidn  y  (\«iwmcaciMK«"  Ihumcu  de  Jcvlv  Rivero  laguna).  Ldtrode  Ai«»» 

1  Tboaw.  PUUER  (IW4-I7J4)  Cmmoloffo 
' '  1.'<»|t#neiKe  evl  le  lota)  de  iw»  deception.  iJWhw  it  mwo) 

14  Anew  eqiodul  de  obra*  Wotnlrt  11662-1709):  ft eutaxo m  gnfflvf  dr  or.. 

'*  ‘lii  nymniu  n  W  «unini  d  In  antM'  l/fiiwuil 

“  ‘£i  mj  maria  Mn  iwe  bd  b  rqailniM.  mnlwin,  to*  lam  naapeeajerdn  n  «u*«iuw 
m~  xtaoe  ttutxardi  Mmamack) 
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26.4.  "PERITO"  VERSUS  “ESPECIALISTA" 

26.4.1 .  Quicn  pucde  ser  "Perito  IT” 

De  mode  gcrvcrico  conceptual  o  defimtorio-.  acabamos  dc  comcntar  cn  el 
apariado  preccdcnte  qo*  es  un  "perito".  En  una  segunda  venieatc.  estnetameate 
jurldita,  podemos  leer  en  cl  Ihrcionario  JuriJico  de  Julia  Infante",  que:  “perito  es  b 
persona  que  infoema  en  un  proccdimicnio.  bajo  juramento  (sobre  cuestiones  litigious 
rclaoonadas  con  su  especialxted  o  expericncia)":  no  obstante,  sc  aAade  que  esta 
persona  “posec  un  titulo  y  es  espccialista  en  algo  deternunado". 

Si  admitimos  las  prcciskmcs  anterioces.  nuestra  revpoesta  a  la  ptegunu  de  qu^  es 
un  perito  y  sobec  lodo  a  la  dc  qurfn  pucde  see.  un  Ptnto  IT  -en  Tccnologias  dc  la 
Informacido-.  se  concreta  suKtancialmente: 

a)  deberdn  poseer  una  litulacidn,  en  informitka  o  de  tc locormi nicac xVc 
entendenvos  que  oficial  y  dc  carlctcr  universitario:  ingenicro  tbcnico  ‘  cuando 
menos.  o  ingenicro1®.  si  b«en  podria  admitirxc  la  validc*  en  deterramadai 
pcritaciones  dc  otros  titulados  univerxitarios  en  ramas  afincs;  y. 

b)  deberin.  ademis.  ser  especial  isias  en  cl  objeto  de  la  pericia.  en  tanto  que  la 
titulacidn  unisersitaria  cn  s (  misma  no  es  garantfa  a  priori  de  la  coropctencia 
tdcnica  neccsaria  para  cmitir  un  dicta  men  con  rcconocida  autoridad.  cn  un 
dmbito  particular  dc  conocimiento  dentro  del  vasto  y  dinAmico  contcxto  de  las 
tec  nolog  (as  dc  la  informacidn. 

Como  en  muchos  otros  dmbitos  peofesiotulex.  la  praxis  c*  diferente.  Cuintas 
vcccx  hemos  constat  ado  formando  pane  dc  "temas  enviadas  a  Ju/gadm,  pan 
mvaculacidn  dc  mis  miembros".  que  se  descooocfa  el  objeto  de  la  pericia  basta  cse 
momento.  sKndo  cl  comdn  denomtnador  de  los  pentos  propuestos  cxcluxivamcntc  la 
titulacidn  unisersitaria  que  posciamos.  pero  no.  por  tanto.  la  adecuacidn  dc  nucstn 
espcciali/acidn  y  en  definitiva  nuestra  capacitacidn  real  para  cmitir  el  dktamrn  cn 
cuetdidn.  Los  Colegios  Profesionaks  no  cuentan  habdualmente  con  rccursos  admints- 
trativos  para  efectuar  una  minima  prc-selecciOn  de  propucstas  de  candidatos  a  perito 
judicial  cn  un  determmado  proccdimicnio.  ni  pucde  que  qui/is  se  lo  permiliese  el 
propto  cdcctivo  de  colegiados:  potcnciaJcs  pentos.  No  entraremos  en  estc  debate, 
ajeno  a  nuestra  competcncia.  pero  dejaremos  constancia  de  <1. 


'  tVwNasamx  Emilio  del:  *  IhcUmenti  »  PrrUafrt  mfamitkoi:  Edituml  DlA7. 

t>i:  SAVT05  Maind.  1995  (pijv  l]y  u.) 

"  rinlaisSi  uaii  r/Ktonu  ofh  M.  de  primer  ctcto 
"  rimtomln  uwirnfluru  ofi aoL  de  sejsado  cicto. 
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Sin  dud*,  y  para  nuestra  tranquilxlad.  el  sisicma  dispone  de  mis  propias 
salvaguardas: 

La  dconlologfa  del  propio  perilo  mvaculado.  o  simplcmente  propucsto.  para 
dcclararse  a  sf  mismo  como  “no  coropeicnte"  en  die  ho  proccdimicnto:  y, 

-  La  declaration  final  que  lodo  pcnlo  hari  en  cl  moment©  de  firmar  su  dktamen: 
"segtin  su  leal  saber  y  entender.  que  le  lleva  a  someter  su  opinido  a  otra  mis 
cualificada  o  fundamcniada  tfcmcamente". 

En  una  tercera  nertiente  cstnclamentc  profestonal.  coincidimos  en  fin  coo  quienes 
defiendcn  que  un  "Perilo  IT  profesional”  es  mucho  mis  que  un  mere  lOcmco 
compctentc.  por  supuesto  litulado  umsersiurio  en  alguna  ram*  de  las  Tccnologfus  de 
la  InformaciOn  y  con  experience  Cexpenise")  en  la  materia  objelo  de  la  pencia  de 
que  sc  Irate  en  coda  momento  Concretamenle.  la  AIPT0”  difercncia  entre  “perilo"  y 
“especialisla".  segtln  se  hace  coo  star  en  el  correspond  icntc  documenio  de  “Solicilud 
de  Ingrcso"  en  la  misma11:  “el  recemocimienio  social  y  el  prestigio  de  las  aeiueic  tones 
profetionales  de  lot  Ingenieros  de  TelecemuenicesciAn  como  Pentoy  hacen  deteabte  a 
jteicio  de  la  AgrupaciAn  que  se  salisfaga  una  dolde  condiciAn: 

a  I  Experiencia  y  formaciAn  e  specific  a  como  Perilo 

b)  Dedication  preferential  al  Ejercicio  Libre  de  la  Prvfrtidn 

Con  inusual  rude/a  y  absoluta  claridad.  la  Comisidn  Gestora  de  la  AIPT  puso  de 
maniftcMo  que  ~no  basia  con  ter  etpeeialitla  para  poder  rralizar  huenos  peritajes:  o 
ya  se  Ha  adquirtdo  una  formaciAn  rtpecifica  como  Perilo.  ejerciendo  esta  acltvidad 
desde  bate  ados,  o  se  deberd  adquinr  "  Astmismo.  "recuerda  a  los  inleresados  en 
perienecer  a  la  AgmpatiAn  de  Ingemeros-Perito  que  es  rtecesario  letter  en  cuenia 
las  obligacianes  de  cardcter  fiscal  y  labored  que  tcmlleva  la  reaHvxiAn  de  trabajos  en 
ejercicio  libre 

En  sfntesis.  la  argumentation  de  la  AIPT  c*  que  debe  profeskmaUzarse  la 
actuacidn  como  Perilo  con  una  “dedication  preferential"  *  dicha  actividad.  y  que  debe 
acredltarse  su  compeiencla  como  utl petho  ton  cspciieaisi*  aioJiuJj  al  IMpcvtO,  que 
no  garanii/a  cn  sf  misma  la  titulacidn  universitana  oficial  propiamente  dicha 
(Ingcnicro  de  Telecomunicacidn.  en  esie  caso). 

En  otras  palabrds.  un  “Perito  IT  profestonaT  no  es  un  lemporcro  dc  las 
acluacicmes  judiciales.  Con  todo  respelo  a  su  competence  lecnica.  estos  otros 
profcstonalcs  serian  bxi  'especiatisias~  -que  no  "pent os"-.  como  distingue 


*  Agrupaciem  dr  lagemrrm-Prnun  de  TrteeommcactCn.  del  Cedeglo  Oficta!  de  hgemrrm  de 
Tries  MMiirafiA* 

n  COMISlON  GESTORA  DC  LA  AIPT  'Aetnuiud  pmfesiemal  litre  eytecumt.  como 
Perito  del  COiT~  iSohcUud  de  hpna).  COIT  M«lr»L  1 7  de  mayo  de  IW» 
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inequixocamcnic  la  AIPT:  “se  enlienden  como  tales,  a  aquellos  compaAeros  que  «« 
expertos  en  on a  determinada  materia,  pero  que  carectn  tie  plena  dispotuMidad  de 
uempo  v  despbyimiento  en  su  trabajo  principal  (no  como  ~ltbre-ejeraente~l  o  no 
estdn  inie re sodas  en  asumir  el  nesgo  de  mik>»  cohos  fijos  tamales  ocattonadot  por  el 
alia  en  el  IAE  -Impuesio  de  Aclriidades  Econdmicas-  y  el  potto  manual  como 
auldnomo  de  la  Seguridad  Social 

En  ou  Ifnca  de  veleocidn  de  "penlox  prolexionalex",  encontramox  una  «/ilida 
|  inicialiva.  xin  duda  fuencmenic  cliiisu  por  critcrios  dc  fomuoon  y  dconlologla.  tal 

cual  cs  SESPES/Sockdad  ExpaAola  de  Peritox  Judicialcx".  quicn  exige  a  xut 
axociadox: 


1 .  Trtulacidn  univeniiaria  oficud  de  xcgundo  ciclo.  como  minimo  (el  SWe  de 
mix  actualcx  mkmbrox  m*i  dociorcx).  cn  Derccho  y/o  carrcrax  del  imbuo 
de  lax  Tlx  (Ingcmcria  Informiltca  c  Ingcnieria  de  Tdceomutucacidn, 
prcfcrtntemcntc). 

2.  Eormacidn  kcnica  cxpcciali/ada  de  poxigrado  en  nuicna  de  pcrilajex.  ad 
como  cn  dcontologia.  que  haya  xido  reconocida  por  la  Fundacifa 
DINTI-:i..  adcmix  de  acredilar  una  adecuada  cxpcncncu  profcoonal  como 
Periio. 

I  in  concrclo.  lax  rcquixttos  exigidos  para  scr  admiiido  cn  SESPES.  como  Ul 
Per  ilo  IT  profoional".  xon: 

a)  liiulacidn  unixerwuru  oficial.  dc  xcgundo  ciclo.  cn  Rerccho  o  Tccnologiax  de 
la  Infornucidn: 

b|  fonnacidn  cspcclOca  dc  postgrado  cn  malcria  dc  periujo; 

c|  compromise  dc  actuacidn  profcxional  xujeta  a  eddigox  dcomdtogicos;  y. 

dl  cxpcricncia  pcncial  acrcdilada. 

Eoa  Awiciacidn  de  Penlox  profcxiotulcs  -SESPES-  justifies  de  hccho  sirs 
critcrios  de  sclcccidn  afirmando  que  cn  olrax  condicioncx  xc  extarian  ofertando  »• 
aqucllax  Inxlitucioocs  u  Organi/acionex  que  le  xoliciian  xu*  scrviciox  o  colaboracidn. 
peritox  vcudo-profcMonalcv  o  sin  "garantia  dc  origen".  lo  que  no  signified  que  no 
puedan  dar  un  adccuado  “xerx  icio"  cmm  ttfcnicos,  cn  dctcrminadax  oeaxtonex.  Y  ello. 
xin  cnirar  en  lax  conxidcractoocs  fixcalcs  y  laboralo  qoc  lex  cxigc  asimixmo  la  AIPT  a 
sus  nuembros.  scgiin  hcnxox  visto  cn  cl  pdrrafo  anterior. 


SISPfS.  a  U  Stxvdad  KtfMota  tie  Peritoi  Jarieiatri.  cicada  txijo  lax  auxpKiax  Jo  b 
f  tindacMa  Dt.vm..  qee  tqtxqa  a  Penlox  proTcxiotulrx  en  Tecaotog  lax  Jo  la  InfxenuoC*  ftnnw*  id.  el 
lldolnldt  1999  to  un  Acto  Ftondaciotul  de  die/  pnCexMuiex  (onto doxtuir* on  Dciccho  »Co 
Tectiolufiax  dc  U  ln(i«mx«!o,  Patiooux  de  la  tvxdacton  DINTU  .  y.  cuxco  ex  alumoox  dc  >u 
Prxfi/nu  dc  Alla  r-ccmKria  en  Inpmcrt*  InfunrxMK  at.  SUtti r«U  tcconocida  oTh'ulineMc  *u  como 
xuxtixialrtov-  .  e  macula  en  el  cfoAMV  Repxtro  dc  Axuciaciuocx  con  el  N*  165417  ("StnnAirjda  do 
(.■  Snrttmria  General  Irinka  del Utniaermdel  Intent if"  V  7  6J9.  de  29 de  yalto de  19991 
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26.4.2.  Formacion  de  “Peritos  IT  Profesionales" 

Un  "Pcrito  IT“  no  nace:  sc  hacc.  coo  foonacidn  opccffica.  Kfcctivamentc.  Itemo* 
diebo  que  un  pcriu*.  lo  et  cn  Unto  a  unot  conocimieniot  (titulacion)  >•  un*  cxpericncia 
ctpccific*  cn  cate  dmbito  profctional.  Dctgraciadamcnic.  cn  la  L'mvettxlad  no  *c 
hkIuvco  cMc  tipo  tic  matcriat.  ni  lot  coicctivot  profcsionalc*  Ihablamot 
cu-lutit  aincntc  del  sector  dc  tat  Tccnologiat  dc  la  Information)  dcdican  a  cstc  atur.lo 
todot  lot  rccursot  fomutivos  que  aparcntcmcntc  ton  ncccsarios.  Por  cl  cootrario.  not 
contian  algunat  iniculivat  aitladat  cn  ctla  direction.  promo vxlat  por  la  iniciativa 
private 


-  IEE.  cn  colabofaci6n  con  GRANADA:  "Aula  dc  Infonniika  Legal'"  ';  y. 

Fundacidn  DINT  El.:  "Programa  de  Alla  Eormacidn  cn  Ingcnicria  Informitica" 
y  "Proyccto  formaiivo  tobre  Ejcrckio  Profctional  >  Auiucmplco  como 
Peri  to"14. 


Scgtln  SESPES.  cn  cl  aportado  dc  "foonacidn  ctpccifica  cn  materia  dc  periujes". 
lot  perilos  profeuonalei  dcbicran  lener  conocimieniot  dc: 

at  i'undameiUoi  juridical:  El  pcrito  profctional  tkne  que  dctcnvolvcrtc  cn  on 
ctMomo  judicial,  para  lo  cual  nccctita  conoccr  cicrtot  conccpiot  jurfdicos, 
vocabulary*.  etc. 

b)  Tdaiicas  dr  redaccidn  dc  dietdmenet:  El  informc  perietal  cs  uno  dc  lot 
mediot  dc  prueba  dc  que  puedc  haccrtc  uto  cn  un  juicro  '.  tiendo  acontcjaMc 
por  unto  que  tigan  un  ckrto  ctqucma  dc  capoticidn. 

c)  Criteria  dc  minutacidn  dc  honoraria:  El  pcrito  ct  un  profctional  libre 
ejcrcicotc  que  deberd  faclurar  tut  honorariot.  coo  critcriot  dcontoJdgicos 
detde  loego.  pert*  tambidn  con  conocimicnto  accrca  dc  cudlct  ton  las  larifas 
dc  honoranot  rccotncndadat.  tut  exccpcioncs  y  talvcdadct.  etc. 


"  "Anil  Ur  IntormSlui  UpT1.  Mglfll/adi  pin  IKK  y  CRANADA  Btnancs*  CoMinrtfy 
ftrtlwwi  >  Prnujr *  kfrrmiiium.  Mxlrtl  abrll.  199* 

Kb  uidm  cum.  <1  uto  del  Or  lot  Proyortut  formalist**  hi  udo  eedido  a  la  FoahlacMte 

pa  <1  proptrtano  tutunu  dr  l<«fcn  w  dercchtn  inldKUaln  y  dc  ciptouttda  (Riuni  Laguna.  Je*6* 
trmreto  formality  Jr  Inform* t.  /Avkbwmi  y  fr/Ma-imo.  Jwlutoiet  v  Hilra/nJirurtri.  MINISTKRK) 
DC  EDUCATION  V  CUt.TVRA  Rrgwrn  Oeurral  dc  b  IViptedad  Inttbctuul.  V  77  21 1 )  Un  alumot- 
pentut  que  Hfao  d  ptdnk  dc  formaodn.  tsatado  abteCatamenK  cn  (am  rcalrt.  irnbro  un  ~TMj 
OTkuI  de  la  Kuolacidn  OINTEL”.  avalado  por  un  reptudo  Claweru  de  IMewnt,  lodot  e»>t 
rMeuunalct  dr  remaonto  pmiigk*.  too  aerrditada  rspmrnoa  ccan>  Penan  en  Tctnologiit  de  b 
bf—lrtdn. 

■n  A%l  to  euablece  ctpcclfKaoieuce  et  utfcuk*  57*  a part***  S*.  en  la  Seccka  Quinta  de  b  ngceer 
Ley  de  Fa^waaciro  Coil  dr  IMI.  y.  el  artkulo  W  apaitad o  4*.  tn  el  Capttulo  VI  de  la  Ley  de 
Etyucunuenlo  Civil  1/3000.  que  rebel  cn  vigor  at  afc>  de  u>  puhlicacuSn  (en  el  a {taiiaAi  7  dr  cvlr 
opnda  *e  diKuhrin  oui  euetlwno  cn  peofundidad) 
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d)  Protocolas  de  actuacum:  La  actuacibn  dc  un  pcri«o  poede  provenir  de  un» 
decision  judicial  dirccu.  o  a  inxiancia  de  lerceras  patter;  pucdc  rcqucru 
oMigatonamcntc  el  Vixado  -previo  o  difcndo-  del  correxpoodicnlc  Cdcpo 
Profoionul.  etc. 

Aderaiv  y  cn  todo  cam),  un  peri  to  prvfcsumal  debe: 

-  tenet  unox  mimmen  cooocitroemox  laboralex  y  fi  scales  pun  cumplir  con  lox 
oponunox  mandatox:  mi  dcxconocimknto  en  modo  alguno  le  exoncra  de 
rcxpooxabilidad; 

-  adquirir  un*  minima  compete  rxcia  comercial  y  dc  marketing,  que  le  permiu 
ac coder  al  mercado  labor  al.  con  casos  realo  en  lo*  que  poder  ejcrcer  hi 
actividad  protesioiul; 

-  etc. 


26.4.3.  Conclusidn 

Lax  nucxax  tecnologfax.  en  particular  lax  “IT  Infoemotiim  Technologist  ' 
(Tecnologfax  dc  la  Informacibn).  cxtin  de  modi  y  son  un  campo  de  crecienle  mtertx 
en  la  present#  Socicdad  dc  la  Informacibn.  Ex  cn  exte  marvo  tan  dinlmico  c  i notable, 
domic  \e  impone  la  ncccxtdad  de  cfcctuar  pcritacioncx  tbemeax,  aun  cuando  tux 
proptos  agemex  (lox  “tdenicox  competentes")  no  lax  promovioen.  Surge  poo.  incxv 
uhlemente.  la  nccexidad  dc  dixpooer  de  peritoi  profcskmales.  mix  alll  dc  lox  merox 
tbcnicos  competcniex. 

En  todo  caxo.  debe  dixtinguirxe  al  "pento"  (como  "profexionar).  del 
“tspccialiita"  (como  "experto  puntuaPi.  al  que  no  ve  le  exige  que  poxoa  una 
formaetdn  cspecffica  en  Ireax  lalex  como  fundamentos  jurtdlcox,  tccnicas  dc 
rcdaccibn  de  dicUmcncs.  enteriox  de  minutacibn  de  honorariox,  etc. 


26.5  DIFERENCIAClbN  ENTRE  INFORMES.  DICTAMENES  Y 
PERITACIONES 

Antes  de  comcntar  la  difcrcnciacibn  que  cstablece  al  rexpecto  alguna  Corporaciba 
dc  Dmecho  Publico  (COIT.  Colegio  OlWial  dc  Ingemeros  de  Tclecomunicacibn.  cn 
coocrcto).  precisamcnie  por  su  incidencia  cn  el  cilculo  dc  lox  bonoranox  qxie  una 
determinada  actuacibn  profcxional  provoca.  haremox  un  recomdo  por  diverxox 
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dice  ion ariot  gcncralcs  coo  la  finalklad  dc  aport.tr  uiu  mayor  pcnpcctiva  a  eslos 
krminos.  haboualmenie  identificadox  como  equivalences  por  los  legos  en  la  materia. 


26.5.1  Acerca  del  t6rmlno  “Informe” 

El  Dicckmario  de  la  Real  Academia  EspaAola  de  la  LmgEMr  define  Informe  dc 
modo  genlhco.  como  "notkia  o  instruccidn  que  sc  da  dc  un  ncgocio  o  xuccso.  o  bicn 
acerca  de  una  persona". 

Rastantcs  diccionarios'7  iMroduccn  una  cictla  gcncrali/ackn  -no  exenta  de 
confuxiomsmo  kcnico.  xegdn  aludfamos  antes-,  al  definir  Informe  como  "la  accidn  y 
efecto  de  informar  o  dtetaminar". 

Sdlo  unos  pocos  upon  an  la  prccUkn  espernda: 

-  Dicckmario  ARISTOS :  "acckta  dc  informar  o  die  laminar  una  persona 
compeienle". 

-  Gran  Enciclopedia  IAROUSSE:  "cxposieido  oral  o  excrita  del  estado  de  una 
cue  si  kin 

-  Dicckmario  General  de  la  lingua  Esparkda  VOX :  "Comunkackn  qoe 
enumera  con  orden  y  Jeutlle  unos  hechos.  aciividades  o  dalot,  hasindose  en 
supuestos  ya  comprobados  (un  informe  i/cnico)". 

Tambitfn  los  hay  que  mali/an  dcfinicionex;*  cn  el  imbito  del  Derceho.  asociondo 
el  krmino  “Informe"  a  las  "exposkiones  orates  que  luce  el  fiscal  o  cl  letrado  ante  cl 
tnbunal  que  ha  dc  fallar  el  proccso".  En  partkular.  algunos  otroc3*  asocian  cl  krtnino 
"informe"  en  cl  imbito  procesal.  al  contcxio  de  perkial  tCcnica:  “diligencta  acordada 
por  el  juez  cuando.  para  conoeer  o  apreciar  algdn  hccho  importance  en  el  juicto.  fuese 
neccsaria  la  inienencidn  de  un  especialista  con  conocimienlo.%  cientfficos  o 
profesxonales" . 


*  Enter  otim.  lairs  como: 

-  IhreKmuho  Msecs  A IrMner 

-  Ihttitmurio  iMKlofeAto  ESPASA 

-  Ox nemano  fcno  rb/eJuti  PI  A/A  A  JANf.S 

•"  Caw  del  DiteMnarto  CnelrtopMco  FSPASA.  LAKOUSSC  Dnmw  £n tkkpMeo  IMkrnal 
OCfANO.  EncutoprJut  VnnrriuJ  iMenunm  CAJA  MAISKII >.  Dwtitmano  EMulapJJu-v  ALFA  Jr 
SALVAT.  etc 

>  Caw  del  IAROVSSL.  Ihettommo  EncietepAAco  Cmverw/  OCtANO.  tmcutafeJM  VniseruJ 
KtmaJa  ESPASA  CAIPE.  Enmity* dw  FJCCARTA  Jr  MICROSOFT,  rtc 

>  Caw  de  U  En. ulaprJiu  PI  AMT  A  AGOSTINI.  EndtlopeJm  Vnhenu!  Mfemm* 

CAJA  MADRID.  EncielopeJm  Vnnerul  InuracH, u  COLLIER,  etc 
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26.5.2  Acerca  del  tgrmino  "Dictamen" 

FJ  Diccionario  de  la  Real  Academia  Espaflola  dr  la  lingua*  dclinc  Dictamrn  dc 
rnodo  gerknco.  oomo  "opinion  o  junto  que  xc  forma  o  cmitc  solve  una  coat". 

Bastantcx  diccionariox  man /an 

a)  que  quien  exprexa  la  opinidn  sobre  die  ha  coxa.  ex  "alguie*  con  autoridad  cn  U 
materia": 

-  Diccicmario  Maria  Moline r 

-  Diccionario  drl  EspaAol  Actual,  dc  AGUILAR 

-  etc. 

b)  que  te  traia  de  una  “opinido  cxcrita  y  motivada.  xuxerita  por  uno  o  vanos 
facullativov.  sobre  un  a\umo determmado  dc  una  expeel  alidad": 

-  Diccionario  Encidopddico  ESPAliA 

-  Diccionario  Encidopddico  SALVAT 

-  Gran  Diccionario  dr  la  Lrngua  ExpaAola 

-  Encictopedia  IAROUSSE.  de  Pl.ANKTA 


l -a  Enciclopcdia  Gran  Larousit  Universal,  idcntifica  no  obstante  dictamrn 
(pericial).  con  “informc  pcricial".  inuetiendo  cn  que  "debe  ccntrarsc  cn  cuestionex 
puramcnic  tdcnicax.  ya  que  los  jueoex  no  pueden  dc  legal  xu  podcr  Jeeixorio...  El  perito 
ex  un  mandatorio  dc  la  justkia.  habilnado  para  proccdcr  a  toda>  lax  investigaciooes 
cxigidas  por  cl  cumplinucnto  dc  xu  miudn.  del  dictamrn".  Y  a  hade  incqufvocameMe 
al  dixeutir  la  valoractdn  dc  un  dictamen  pericial  que  "la  aprcciacdn  que  luga  cl  jue* 
del  dictamen  ex  libre.  no  cuando  obligado  a  xujelar  su  deeixidn  a  It  opinidn  pericial;  si 
no  lo  coasidcra  adccuado  para  fundamentar  cl  fallo  judicial  ccbcra.  no  obstante, 
scrialar  lox  motivox  que  ban  dado  lugar  a  xu  decision" 

El  Diccionario  dr  Drrecho  Priiado  de  la  Editorial  LABOR,  a’ladc  dc  xu  parte  que 
“la  ley  ulili/a  la  palabra  dictamrn  para  dexignar  el  informe  cm  lido  por  lox  peritos 
durante  cl  periodo  dc  peueba  cn  un  proceso". 


w  bilre  into*  niuchuv  Ulex  ccanx 

-  thcckmano  tncKtep/dtcc  ESP  ASA 

-  Oral,  Emiet*pf*a  IAROVSSE 

-  DticumarM  EmwhfMeo  tJiAf 
PKCwmrm  ton ebpedteo  ft A/A  A  iAStS 

-  Duruimwio  AKtSTOS 
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La  consults  de  dkcionarios"  de  sindnimov.  antonurxvs  c  ideoldgicov.  no  aporta 
mayor  lu/.  al  conuderar  sindmmo*  tlmunos  como  informc.  opinion  y  juicio.  junto  a 
otrosmis. 

Lo  mi ‘.mo  ocurrc  con  las  definicioncs  recogidas  cn  drccionnnas'  de  lengua 
extranjcra:  report,  opinion  y  judgement.  No  obstante.  si  pucde  considcrarsc  relcvanle 
U  dtfcrcnciacidn  quc  introduce  cl  Dkcionorio  de  TJrminot  Jurfdicot  ( liglls-  Espaflol  / 
Spanith-English)  de  Enrique  Alci/ar  Var6  y  Brian  Huger.  de  Editorial  ARIEL.  entre: 

dktamen  contultivo:  advisory  opinion: 

dictamen  jutidico:  legal  opinion  (opinion  of  counsel); 

dktamen  motivado:  reasoned  opinion:  y. 

dictamen  perietal  expert  opinion  (expert  testimony  I.  como  tindnimo  de 
~peritaje 


26.5.3.  Deflnlciones  del  COIT 

Las  antcriorcs  similitudes  tcrnunoldgicas  entre  informc.  dictanen  y  pertcial 
quedan  absolutamente  deslmdadas  en  I  os  documentor  oficiales  del  COIT.  Colegio 
Olicial  de  Ingemeros  de  Tetecumunicacidn,  y  mis  concretamcnte  cn  su  ANEXO  II  de 
'Formulas  para  Informcs.  Dictlmcncs  y  Pcriuycs". 

Concretamcnte.  entiende  por. 

•  INFORME:  El  desarrollo.  con  cxplicaciones  tdcmcas,  de  las  eircunsumciat 
obtenadai  cn  cl  reconocimiento  o  examen  de  la  cucxtidn  somciida  a  informe. 

•  DICTAMEN:  la  exposicidn  de  la  opinion  quc  cinitc  cl  Ingcnicro.  sobre  la 
cuestidn  somciida  a  dictamen. 

•  PERITACIfiV  El  dretamen  en  quc  te  disciemen  cueslknes  de  orden 
tlcmco.  o  se  de  linen  circunstancias  tambkn  del  mismo  orden. 

Hasta  Lai  punto  es  manifiesta  la  diferenciackSn  conceptual  asocuda  a  Iocs  tres 
ofmunos  cn  cucstidn.  quc  cl  COIT  cspcciftca  quc  “los  honorarios  cn  kw  cases  de 
Cetamen  o  pcritacidn  (II),  serin  cl  dobte  dc  los  scAalados  para  los  informc*  (HT. 


"  Gran  tXeeumario  de  .TimSnum.  Or  BRl.CiUKRA.  Oietianaria  manta  I  de  SmS 
tnUnmot.  de  VOX.  Dutioemio  UeMfuo  de  la  Lent  ml  tipaMe.  ile  JUUO  CASARES:  He 
11  Oxford  Ads  raced  Lomr'i .  COLLINS  dKtionary.  dc 
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Ari.  aun  partiendo''  de  unos  "honorarios  mfnimos”  de  55.700  pus .  d  COIT 
rceomieoda  sc  aplique  como  fdrmula  general  para  cilculo  de  honoraria*  de  Ic* 
“Informcs": 

II'  *  B  ♦  0'03  x  V  *  C 
siendo*4: 

|  -  V  ■  Suma  de  vakxcs  de  maleriales.  mano  de  obca.  amorti/acionc*,  gatfos, 

generates,  etc.  con  la  ijue  ha  habtdo  que  opera* ; 

-  B»  5.250  pus  :  y. 

-  C  -  Cocficicnie  reductor  por  tramos: 

pero  lemendo  en  cucnu  que.  para  I  os  "Dktimenes"  y  "Periuciooe*".  los  honorano* 
(II)  se  duplicarin: 

H  -  2  x  H' 

Esta  fUosoffa  de  duplicacidn  del  valor  (II')  de  los  honorarios  resultanles  de  aplkar 
la  formula  de  los  "Informcs”.  se  mantiene  en  cualquicr  otra  situacido  en  que  no  sea 
vAlida  la  fdrmula  general  antes  indkada.  En  coocrcto.  cl  valor  antes  indicado  de  II'.  se 
calcularfa: 

-  en  cl  casodc  “Informs  tobrt  Froyectos~.  medunte: 

H-0-5xB*0,l  xP 

siendo  P.  los  honorarios  del  Froytcto: 


-  en  el  caso  de  “Informs  sobre  (H>ras  ",  mcdiaixc: 

H'-0*5xB*0‘lxO 

siendo  O.  los  honorarios  del  Proyecto  de  las  Ohms  informadas ; 

-  en  el  caso  de  “Informs  sobrt  Intialodcnet  imaquinas.  maleriales.  etc.)”. 
mediaiKc: 

H'-0'5xB«0'l  xl 

siendo  I.  los  honorarios  del  Proyecto  de  las  Inualackmes  Informadas: 


TclKimnKKHio.  n  d  Ejmicn  I  Jx*  dr  la  IWnite 
“EnriafioMOO 
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cti  d  cavo  de  ’Informev  vobre  Concunos  de  Proyeetos".  mediante: 

H'  ■  2  x  B  ♦  0‘05  *  C 

viendo  C.  lew  honorariov  de  lav  Proyeetos  informadov; 


en  el  cavo  de  "Infocmev  vobre  tamos  dr  avrria  ten  fibneav  mvtalaciooev 
maquinanav  artefact  ov.  conduccioncv.  etc.)”,  mediante: 

H*  ■  B  ♦  O'OS  x  A 

viendo  A.  el  valor  de  lodav  lav  per  didos  produeidas  par  la  Aseria: 


en  cl  cavo  de  “Informcv  ante  Tribunates  (en  vituacioncv  evpcculec  para  lav  que 
no  euvle  la  Unfa  corrcvpondicnie)”.  mediante 
H  .0SxB*O05xFx<l*OlxN) 

viendo  F  cl  importc  dc  la  Pianza  vcAalada  por  la  autondad  judicial  o  el  import e 
de  la  rexponvabilidad  civil  vubvtdiana  que  tea  objeto  de  la  iiucrvcncidn 
judicial,  y  N  la  vuma  del  ndmeto  de  ctcritov  y  comparevenciav  del  ingcnicro; 

en  el  cavo  dc  “Informes  sabre  Paitmrs  ",  mediante: 

H’  ■  B  <0*5  ♦  0‘  25  x  R> 

viendo  R  el  mimero  de  KeMndleaeiones  objeto  del  informe. 


26.5.4.  Tarifas  diferenciadas  de  Honorarios  de  Ingenleros  en 
Trabajos  a  particulars 

La  ditquivicidn  dc  honorariov  devenu  en  cl  pdtTalo  precedcnte.  no  cv  en  rcalidad 
una  particulandad  del  CXMT.  Antes  (wen.  sc  trau  de  una  adaptaciOn  de  lav  Tanfav  del 
CO  IT.  a  lo  evtablectdo  por  la  Oden  de  24  de  julio  de  1962  (Boletln  Ofictal  del  ILvtado 
de  31  dc  julio).  por  la  que  ve  aprueban  lav  normav  complementanav  de  aplicacidn  de 
lav  tanfav  de  boooranov  de  lo*  Ingcmcrov  en  Irabu jov  a  panicularev.  a  propuevU  del 
“Invtituto  de  Ingcnerov  Civile*  de  livpoAa"  -actual mentc.  Instituto  de  la  InKemeria  de 
EspaAa-.  y  de  acuerdo  con  lo  cvuMccido  en  la  have  general  1 3  del  Ancxo  del  Decrcto 
1998/1961  de  l6deoctubre. 

Avf.  de  lav  268  Tanfav  que  integran  la  Parte  III  del  Ancxo"  al  Decrcto.  dcdicada  a 
“frabajov  Evpccialev”.  ve  cvtablcce  coocretamcnte  una  elate  denonunada  "'Informcv, 
dKtimenev  y  penuoonev”  (Tanfav  156  a  168.  ambav  inclusive),  correvpondieodo: 


"  U  Pane  I 


Min  l*»  Toils 


www.FreeLibros.me 

tw  auphokIa  isKNmAnrA-  in  unhook1.  hUttico _ o^m> 

-  la  Tarifa  168.  a  la  (drmula  general; 

la  Tarifa  156.  a  La  ((Simula  largaiticnic  comeniada  dcH»  2x11’:  y. 

-  Las  Tarifas  IS7  a  160  tambas  inclusive!  y  la  168  y  166  y  167.  a  las 
cxplfciiamenie  rclatadas  para  cilculo  particular  «Je  II  :  proyectos.  obras. 
instolacioncs.  coocursos  de  proyectos.  causas  de  avrria.  informes  ante 
Tnbunales  y  patentee.  respectis  ameme. 

Incquisocunicntc.  cstc  Anexo  al  Dccrcto  de  Tarifas  de  Hoocrarios  de  Ingcnicrot 
ijuc  sc  ha  presentado.  distingue  pucx  entre  "Informe".  "Dictanen"  y  "PentacrOn". 
rccogicndo  de  hcclto  las  mismas  dcfiniciones  dados  en  cl  pirrafo  5  3.  cn  el  prcimbulo 
al  Moque  de  Tarifas  156  a  168. 


26.6.  PERITACIONES  EXTRAJUDICIALES  Y  ARBITRAJES 

No  profundiraremos  aquf  cn  cstc  tema.  por  ra/ones  de  cspac«>.  pero  no  queremos 
pasar  sin  dejar  constancia  de  su  imponancia  cxplfcita  en  el  capftub  que  iratamos. 

El  mismo  Anexo  del  Decrcio  de  Tarifas  a  que  hicimos  referenda  cn  cl  apartado 
precedente.  dcdica  expiicitamcntc  su  Tarifa  220  a  valorar  cstc  meicster 

ir  -  5  x  0  ♦  0  05  x  V 

siendo  V  la  sunu  de  valorcs  con  que  sc  ha  operado  para  resolver  cl  artuiraje.  En 
particular  sc  cstablece  que  para  su  realiracidn  sc  suponc  que  se  proporciorun  al 
Ingemcro  toda  close  de  datos.  v  ademis  de  lo  resultante  de  aplicar  esia  tarifa.  hahrAn 
de  ahooarsele  los  honorarios  de  los  reconocimientos.  informes.  viloraciones.  etc.  que 
efeetde. 

De  los  dos  tipos  hisreos  de  arbilraje  que  existen  de  tquidad  >  de  dtrtchtt-.  wMo 
cn  el  de  ei/uuiud cahe  pensar  cn  principio  que  un  tecnico  acute  conx>  drbilro ",  ya  que 
en  este  caso  puede  serlo  cualquier  persona  natural  que  se  clija  para  dccidir  sobre  la 
cuestidn  litigiosa.  segtln  su  leal  saber  y  entender  y  sin  sujecidn  a  trtSmilc-s.  debiendo 
tan  *<Ho  dar  la  oportunidad  a  las  panes  para  srr  ofdas  y  presentar  las  pruebas  que 
cstimen  convemcntes.  Elio  no  impide  que.  en  cualquiera  de  los  cavos,  se  requiera  un 
informc.  dictamcn  o  pcricial  extrajudicial  por  las  partes,  a  quiencs  asimismo 
corrcsponde  la  eleccidn  del  lipo  dc  arbitraje  que  dcsean' 


*End  <av>  del  "utxuajc  de  dcresho"  In*  irtMtrca  deciden  la  cuestata  lopou  c<« 
drcecho.  fv*  lo  drberan  ser  letrados  en  <)<tckio 

”  En  caw  de  que  a»  tui  as  aMilniadn  su  voluotad  en  esle  atprcxx  el  vMnjr  wrt  de 
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lil  arbitrage,  cn  (an to  que  sislcnu  dc  rcsolucidn  allcnutiva  de  conflicto*.  Apert* 
multiples  venujas:  rapidez",  discretion  y  confide  no  alidad,  fiexibilidad  cn  cl 
procedimicnto  y  lugax  dc  celeb* acidn.  rcduccidn  dc  ccntas.  volunuriedad  cn  la  fdmiuU 
dc  soIuckSo  al  litigto.  cikocia.  etc. 

Kn  particular.  >  total  mente  cn  la  Knea  que  nos  ocupa,  cabe  dcvtacar  como  una 
notable  verwaja  cl  hccho  dc  que  lax  pone*  pueden  escoger  como  ifbitros  ("dc 
cquidad")  a  personas  que  scan  cspccialmas  cn  la  materia.  ya  sea  po*  *u  profesidn. 
cargo  o  actividad:  no  sc  olvidc  que  serin  esia*  personas,  al  actuar  como  irbitros. 
quiencx  tomarin  la  deovidn  que  cstimcn  mis  justa  cn  concicnoa.  y  que  una  se/  sea 
firmc  el  laudo  arbitral  dktado  <Stc  podri  ser  objc*o  dc  ejeeuciAn  forzos*.  al  igual  que 
una  “scntcncia  judicial  firmc". 

Dixtinta  es  la  fdrmula  dc  la  "mediacidn".  que  se  difcrrncia  de  la  del  orbiirajc  cn 
que  cl  mediodor  no  licne  caricter  dc  juez.  sino  dc  "hombre  bueno”  cuyo  conscjo  puede 
ser  accptado  o  rccha/ado  libtcmenlc. 

Kn  conclusion,  xcgiin  rccogc  la  Encidopedia  Gran  larousse  Universal: 
"Socialmcntc  puc*.  cl  confiar  la  solucidn  de  condiclos  al  juicio-rcsolucidn  dc  irbitros, 
signified  la  cxistencia  dc  una  comunidad  sana  y  ilmcamcnte  madura  cn  la  que  lo* 
problcmas  intcrpcrsonalcs  no  alcan/an  grade*  de  cominua  agudizaciAo.  y  por  el 
contrario  se  han  conseguido  cn  su  sc  no  altos  nivcles  de  convivcncia." 

Kn  mayo  de  1989.  unos  meses  despud*  de  la  emrada  en  vigor  de  la  Ley  dc 
Arbtlrajc  BspaAola.  se  cons(iiuy6  cn  nocstro  pal*  ARBITEC".  coo  la  linalidad  dc 
ofrcccr  una  via  allcmaiiva  eficaz  para  la  resoluciAn  dc  divergencias  que  lengan  como 
(undo  producto*  o  scrvicios  relacionados  con  las  Tccnologia*  dc  la  InformaciAn.  En 
febrero  dc  1997  se  convirtsA  en  la  primera  inslilucidn  cspaiVola  que  admHc  solucioncs 
de  arbdraje  a  travd*  de  Internet,  utilizando  la  red  cn  todas  las  fasc*  del  procedimiento 
arbitral,  except©  cn  aqucllas  diligcncias  cn  las  que  se  requiem  presencia  de  las  partes*’ 


“  Kiixm  mckno.  k>*  demmiuS*  "uh(ri|n  nlmdoi*.  cn  lot  fa  «  iMfuahaccn  cwitat 
■nStKKiMXi  para  garanltrar  que  *e  fweda  tralt/ar  en  mmor  I  tempo  >  coo  cosew*  "*a>  icaluctdwa  ado 

"  La  imwcululaJ  Jr  ARBtTfX  -AtocionJo  CipuJolu  Jr  Arbitraj*  TnnoUtua-.  quftlt 
(tcjnit/ailj  pot  el  hrctu  de  qoe  la  CutmuCes  cncargada  dc  rtcjir  a  h»  artttlrwa  e*U  limali  per  un 
Nprcsrmanie  de  U  otrrta  >  otro  dr  U  demand* 

al  <1  accrue  dr  la*  empirsat  t  tinuaieadnea*  dr  TccouiojCj*  dr  la  lafcrmactta.  rtU  reperarntado 

poeSEDtSLy. 

b>  kn  wauano*.  ralin  rrperacmadan  pc*  I*  AaociacHta  dc  Uawanwa  dr  Inlemec 

I  cn  Jm  aucalr*  faranti/an  U  tulrla  dc  lot  dereebo*  dc  la*  pane*  en  rt  memento  de  la  ikaiputMi 
dr  penlm  para  cl  pnxedt  internet  arNval 

m  Para  tomrtmr  al  arbtlra>e  ARBITK'.  pedri  Iramitaear  la  aubctlud.  por  ejrmfdo.  a  traaCs  del 
ocnrtfundkiue  (tiraiularto  clccIrvWo  en  la  aacb  tap >/«aa»  onnet  rVjibtWc 
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Adcmi*  dc  ARBfTEC.  v  desslc  lucgo  dc  l*  Cortf  EtpaAoUt  df  Arbitrajf.  cviste  n 
nuestro  pats  0Va  interrsantc  orgamracidn:  ARyMR.  Arbttrajr  j  Mtdtacum" .  dtuca 
cmprcsj  privada  c*palV>h  dcdicada  a  promos  er  c  impulvar  cl  artnuajc  y  U  media;  ion 
como  altemaliva*  al  proccdimicnto  judicial  ocdiruno.  asi  como  dc  admimarar  kn 
asunlos  quc  Ic  sod  cncargadov 


26.7.  EL  DICTAMEN  DE  PERITOS  COMO  MEDIO  DE  PRUEBA 

La  verwdn  actual  me  ntc  vigentc  dc  la  LEC-Lry  dr  R/iJuiaamirnto  Civil  dc  1881 
Real  Decrno  dc  3  dc  febrero-.  tamhkn  llamada  "I xy  dc  Trimite*  Civile*",  esuhkee 
en  su  A nfetdo  578  iSrctidn  QUINT A,  Dr  lot  mrdtot  dt  prurba >.  quc: 

“Lo*  medio*  dc  pruebu  dr  quc  sc  podri  haccr  uso  cn  juicio  son: 

1.  Confrvbn  dc  juicio 

2.  Documrnios  publico*  y  solcmne* 

3.  DocumetMo*  pnvados  y  correspondence 

4.  Los  libro*  dc  kn  cocncrciantct  quc  sc  llcvcn  con  la*  formal idadcs  prrvmidas 
cn  la  Scccidn  Segunda.  TMo  II.  I.ibro  I 

5.  IHctamen  dc  Peritos 

6.  Reconocimicnto  judicial 

7.  Testigo*- 

Debe  haccrsc  notar  quc  cl  artfculo  siguientc  dc  la  vigentc  LfiC  (cl  579).  no  hace 
referenda  alguna  a  las  “Ptueha*".  entrando  dc  llcno  cn  la  dcscripcidn  dc  la  "CoofoMa 
Judicial"  No  ocurrc  ast.  cn  la  LET  Ley  1/2000.  dc  7  dc  eneto.  dc  Enjukianuento 
Civil  (todavfa  no  vigentc): 

-  sc  dedKan  do*  artfeukn  a  kn  "Medio*  dc  Prueba"  (Captrulo  VI.  /V  lot  mfdiot 
dr  prurba  y  lot  prrtumitmrt).  cn  cl  Tttuk)  I  (Or  lot  dnpoucionrt  camunrs  a 
lot  proctun  dfdarativot)  del  I.ibro  II  (Or  lot  prof  run  drtlarulivot): 

•  An.  299.  Mtdlot  dt  pntftHt 

•  Art.  500.  Ordtn  dt  prdftica  dt  lot  mfdiot  df  prurba 

-  sc  modi  fie  an  tamo  Us  denominactonc*  dc  kn  medio*  dc  prueba.  como  cl 
orden  cn  quc  sc  podri  haccr  uso  dc  k»  tniunos  (An.  299): 

1 .  Intcrrogatono  dc  Us  parte* 

2.  Documents*  publico* 

3.  Documcntos  privados 


*’  ARyMR.  c 
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4  l>ictamcn  dc  Peritos 

5.  Rccooocimicnco  judicial 

6.  Intcrrogatoriode  tettigoi 

-  x  previsa  el  orden  de  prictica  de  lo*  medios  de  prueba  (An.  300).  “salso  que 

cl  tribunal.  de  ofioo  o  a  instancia  de  pane,  acuerdc  ocro  distuno": 

1 .  Interrogators  de  las  panes 

2.  Interrogators  dc  los  tcstigos 

3.  Declaration es  de  pentos  sabre  su%  dtcubnenet  o  presentation  de  duos, 
tuando  etcepcionalmente  se  baton  de  adrmtir  en  ese  memento 

4.  Rcconoctmicmo  judicial 

5.  RcproduccuSn4  ante  el  tribunal  dc  pabbrav  imageries  >  sonulos  captados 
mediante  mstru memos  de  filmacidn.  grahacidn  y  otros  semejantes 

26.7.1.  Objeto  de  la  "prueba  perietal" 

En  lodo  caro.  e  lmJepcndtcntemcnic  dc  la  vervdn  consider  ada  dc  LEC.  el  “objeto 
principal  de  la  prueba  son  k*s  hcchos;  mis  eiaciamenic.  las  afirmaciones  ficticas  del 
proceso"41.  O.  si  se  pceficre.  emendemos  por  prueba “b  aciividad  que  dcsamsllan 
las  pones  con  el  tnbunal  pora  adquinr  el  convene imiento  de  la  serdod  o  cene/a  de  un 
hecho  o  ofimucnSn  fictica  o  para  fiyiflos  como  c  ten  os  a  los  efectos  dc  un  ptnccio. 
E.su  aciividad  se  reali/a  tamo  en  procesli miemos  civile*  como  penak*.  sociales  y 
contcnooso  administraiisos;  siendo  lo  rcgulado  para  el  procedimiento  civil  b  norma 
bdsica  que  se  aplico  a  lodos  los  proceslimienlos". 

Ahora  bicn.  no  lodos  los  "hcchos"  son  objeto  de  prueba  pencial.  Tal  serf  a  el  case 
de  aqucllos  que  no  neccsilan  ser  probados  por  considerarsc  notonsn.  o  porque  scan 
admitidos  al  no  rtsultar  controsemdos.  ademis  dc  detemunadas  presunciones. 

Dc  modo  genCrico.  puede  dislinguirse  entrr  “bechos  fundamentales"  y  “hechos 
accesorios  o  mdicianos".  en  funcidn  de  su  correspoodencia  di  recta  -o  no-  coo  lo  que 
se  trala  de  resolver  en  el  proceso  en  cuestido 

Por  otra  pane,  y  aunque  lo  habitual  es  que  scan  la*  partes  (act  or  a  y  demandada) 
quienes  propongan  la  prueba,  bicn  puede  ocumr  que  sea  el  propio  Juc/  o  la  Sab  que 
conoce  del  litigio  quten  decida  b  nccesidad  de  una  prueba  perkial.  antes  de  dictar 


,f  El  199  2  dr  la  LKC  dr  mat,  dr  2000.  rsiatdree  9*  taainta  «  adiratirin.  cnlm  r  lo 

dnpiM)  m  Mi  Ley.  los  medios  dr  Rfndimda  de  julita.  el  kxikJo  y  la  imagnc  ui  ctmo  Im 
imoumrnios  quo  prnntrn  mimr  y  scooter  o  reposts*. IT  pafahav  dtlos.  cifras  y 
mivnliSK  IVtadw  a  catw  cun  fairs  statable*  o  dr  otra  ciaac.  rrks  ernes  pan  el  process'" 

11  Motor  Mrrttnrx.  I<kt  J  .  (rmdimM  al  Ombao  /mriduo.  bl  IwdmM  DtVIH.  frop arm 
dr  Atm  formant*  n  hrnwna  Informant  u  •  Cmo  dr  "Informes.  DsUartss  y  Hnli(n  eti 
Tecnologias  dc  U  Inform*  sOrT.  Madrid,  abnl  IW* 
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scntencu;  de  ahi  quc  sc  dcnonune  a  este  tipo  de  pruehax  periciaks  como  “diligcncui 
para  mcjor  proseer". 

26.7.2.  El  "Dictamen  de  Peritos"  en  la  vigente  LEC 

La  vigente  IJ-C  de  1881.  dedica  a  etie  avunto  k»  artfculoi  610  a  632.  amben 
inclusive. 

Dcsdc  una  perspcctiva  conceptual,  orientada  al  Imbito  tArnico.  segrin  correvponde 
al  contenido  de  evta  obra.  cnlcndemos  como  significative*  pan  nocstrot  fines  lot 
Mguicntci  avpectov  quc  comeniamos: 

•  La  prueba  pcricial  proccdc  empleartc  cuando  se  dan  dot  circunstancias 
coocrctas  (Ait.  610): 

a)  sc  nccctitan.  o  son  convcnicnte*.  conocimientos  cientffkos.  aitfsticos  o 
pricticos;  y. 

ti  se  perw guc  conoccr  o  aprcciar  "hcchot  de  influencia  en  cl  pkito" 

•  El  objeto  de  la  prueba  pcricial  dche  proponerte  con  claridid  y  precision4',  por 
b  pane  a  quien  imeretc  estc  medio  de  prueba  (An.  61 1). 

•  Lot  peritos.  en  ntimero  de  uno  o  ties  (Art  61 1 ).  “deberin  tencr  tflulo  de  Ules 
en  la  ciencia  o  ane  a  quc  pertcne/ca  cl  punto  sobre  cl  quc  Kan  de  dar  tu 
dictamen.  si  tu  profesidn  etli  rcglamentada  poe  las  Icyes  o  por  el  Gobiemo" 
(Ait  613). 

•  La  admitidn  de  una  Solicitud  de  prueba  pcricial.  >  dcidc  luego  tu  objeto 
dennitiso.  sdlo  corrcsponde  al  Juc/  (Art.  613).  indcpendientcmcntc  de  U 
propuetta  de  las  partes.  Lo  mismo  ocurre  con  U  valoacidn  del  dictamen 
emitido  por  el  Perito  (Art.  632).  ya  quc  "los  Jucccs  y  los  Tribunak*  apreciarin 
la  prueba  pcricial  scgiin  las  regia*  de  la  tana  critica  sin  estar  obligados  a 
sujctanc  al  dictamen  de  los  peritos’*. 

•  El  Juc/  podri  pedir  informc  a  la  Academia.  Cotcgio  o  Coiporacidn  Oficial 
quc  corresponds,  cuando  cl  dictamen  pcricial  exja  opcracioncs  o 
conocimientos  ckniificos  cspeciales  (Art.  631 ). 


"  E»  pc*  clk>  quc.  en  taw  a  u>  opmcncu  proScuonal.  cue  jui.h  ta  prcfucuo  en  multiple*  ton* 
cl  IctcaJo  feeme  ream  lopupo)  coo  cl  pcnlo  ("esperto"  en  la  mMena.  como  ui  tfcnico  en  la  anma): 

XIII  Eacuendo  dr  "Infontanca  >  DrkSo'  (Umvcrudad  hMifKa  Comilla*  /  Imlitulo  de 
InformUica  lueMica)  Madrid.  7  y  S  abeil  IW. 

-  Re*  i»ra  dr  UtfanaMt*  peua  J.ruM>  dr  bdaonal  AKA.SYADI  N*  II.  abnl  de  IW. 
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26.7.3.  El  •Dictamen  de  Peritos"  en  la  LEC,  de  enero  de  2000 

I -a  LEC  dc  7  dc  cncro  de  2000.  dedica  a  cue  asunto  lo»  articulos  335  a  352.  ambo% 
inclusive,  constitulivos  de  la  Sccctdn  5*  del  Capitulo  VI  del  Tftulo  I  del  Libro  II  de  la 
Ley.  La  redaction  del  artkulado  prescnu  en  m'  miwu  apecciablcs  diferenciav 

Con  rwpecto  al  "objeto  y  final  idad  del  dictamen  dc  pen  I  os"  (Ait.  335)  la  nueva 
Ley  coincide  en  lo  suMancial  con  b  vigcntc.  Sc  insistc  exptfcitamcntc.  adernis.  en  que 
al  emitir  el  dicumen,  todo  perito: 

a)  deberi  manifestar.  bajo  juramento  o  pro  me  v*  dc  decu  verdad.  que  ha  aciuado 
y.  en  hi  caso.  actu art  con  la  mayoi  objetividad  posiMe; 

b)  tomari  en  considcracidn  Unto  lo  que  pueda  favorcccr  como  lo  que  sea 
susceptible  de  causal  perjuioo  a  cualquicra  de  las  partes;  y. 

c)  conoccri  las  sanciooes  penales  cn  Us  que  podrfa  incumr  si  incumplierc  w 
deber  como  perito. 

Ambas  leyes  sigucn  coincidiendo  en  lo  surtancial.  en  cues! tones  talcs  como: 

•  Condition*!  d*  lot  perlloi  (Art.  $40) 

Los  pentos  deberin  poscer*“  el  titulo  o Octal  que  correspondc  a  la  materia 
objeto  del  dicumcn  y  a  la  naturalera  de  Cstc  Aumismo.  podri  solicitanc 
dictamen  de  Academias  e  instituciones  culturales  y  ctcntifkas  que  sc  ocupen 
de  las  matenas  cocrcspoatbeMcs  al  objeto  de  la  pencia*’. 

•  Valoracidn  del  dictamen  perietal  (Art.  $48) 

Kl  tribunal  salorari  K>s  dictimenes  pent  tales  segdn  las  reglas  de  b  sana 
critica 


Ahora  bien,  la  nueva  LEC.  introduce  en  el  apartado  de  dictamen  de  kn  pentos 
novedades  importantes:  articulos  336  a  339.  As(.  sc  cvpccifica  en  los  articulos  336  y 
337.  que: 
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1.  Los  litigantcs  podrin  aportar  lot  dictimenex"  quc  dispoogan  (elaborados  pot 
pcritox  por  ellos  designadosi.  y  quc  extimen  nccesarios  o  cons  ententes  pin  U 
defensa  dc  sus  dcrcchos  <  An.  336). 

2.  Podrdn  aportarsc  dictimcncs  elaborados  por  pcrito*  dexignado*  por  Us  partes, 
con  postcrioridad  a  la  demanda  o  conlcstacibn.  anunctindo  oponunamence 
quc  lo  Karan  en  cuanlo  dispoogan  dc  ellos".  para  su  traslado  a  la  01  ra  pane 
(An.  337). 

DcmJc  loego.  y  pesc  a  lo  dispuexto  en  cl  artfculo  337.  lax  pines  podran  aportar 
aqucllos  "dictimenex  cuya  ncccsidaJ  o  utilidad  venga  suscitada  por  la  contcstacidn  a 
la  demanda  o  por  lo  alcgado  y  prrtendido  en  la  audicncia  previa  il  juicio"  (An.  338). 
Es  dccir.  se  comcmpla  tambsCn  la  posibilidad  de  apoeiacibn  dc  dalimcoes  en  funertn 
dc  actuaciooes  procesales  poslcriorcs  a  la  demand* 

Por  illlimo.  en  cl  ankulo  339  se  contcmplan: 

-  la  solicitud  dc  dcxignacidn  de  pen  las  por  el  Inbunal  (•  rcsolucidn  judicial 
sob  re  dicha  solicitud);  y. 

la  designaci6n  dc  peritos  por  cl  tribunal,  sin  insuncia  de  pane. 

Cuetiioocs  reles  antes  son: 

-  si  cualquicra  de  las  panes  fucse  titular  del  derecho  d:  austcocia  jurltbca 
graluita.  no  tendri  quc  aportar  el  dictamen  pencial  con  la  demanda  o  la 
contcstocidn.  si  no  simplcmentc  anunciarlo.  a  los  cfecios  d:  que  se  proccda  a  la 
designation  judicial  de  pen  to  (An.  339. 1 ): 

-  la  dcsignacidn  judicial  de  pcrito  poede  scr  sjcmprt  solicitada  en  sus 
respectivos  cscritos  inicialcs.  unto  por  cl  demandinte  como  por  cl 
demandado.  “si  entienden  convenicnte  o  necesano  pint  sus  uucrcses  la 
cmisidn  dc  informe  pencial”  (An.  339.2):  y. 

-  la  cmisidn  dc  un  informe  pencial  claborado  pot  pcrito  dcsignado 
judictalmcnic  sc  podra  solicitar  con  postcrioridad  a  a  demanda  o  a  la 
contcstacidn.  “salvo  quc  se  refiera  a  alegacioocs  o  prctcniiones  no  contenidas 
en  la  demanda"  (An.  339.2). 


pentu  (dff  1)4)1 

**  fcn  lodo  c* 

srrtulM/r  J17./1 
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Asimismo.  consideramos  significatiso  lo  dispucsto  en  el  Articulo  J45.  accrea  do 
1st  "opcrac  tones  periciak*  y  potibk  inicrsenctdn  de  las  panes  en  cl  las": 

-  las  panes  y  sus  dcfcnsorc*  podnSn  ptcscnctar  el  reconocimiciMo  dc  lugarcs, 
objetos  o  personas  o  la  rcaluactdn  dc  opcracidn  andloga*.  si  con  ello  no  sc 
imptde  t>  estorbu  la  labor  del  perito  y  se  puede  garantizar  el  acicno  o 
impannalidad  del  dictamcn  (An.  345.1):  y. 

-  el  pehtu  deberi  dar  aviso  diroctameme  a  las  panes,  del  dia.  bora  y  lugar  en 
que  llcvarin  a  cabo  sus  opcracioncs  penciales.  stcmptc  que  el  tribunal  luya 
acepudo  la  soltciiud  dc  aquellas  para  cstar  preseme  (An.  345.2). 


26.7.4.  Comentarlos  finales 

La  u:c.  dc  7  dc  cncro  de  2000.  no  entrant  en  vigor  hasu  un  afto  despots  de  su 
puNicactdn  en  cl  Boletin  OTtcial  del  Lstado'1.  por  lo  que  podicran  lodavia  iMroductrse 
cienos  cambists,  si  bicn  no  cs  ello  lo  que  cabe  esperar.  concretamcnic  en  lo  que  a 
noestra  parte  I  a  dc  interns  compete. 

Las  nosedades  que  ban  sido  comcMadas  introdocen  a  portae  tones  sustancialcs  con 
rclacidn  a  la  lodavia  vigenle  LEC  dc  I  SKI.  Deberiamos  reflexionar  pues  sobre  cllas. 
const  un  cercano  fuiunble.  adonis  dc  muy  poubtc  en  cuanio  a  su  aplicaciOn  y 
obligatoricdad. 


26.8.  CONCLUSIONES 

Peritar  no  es  Auditor.  ctertamcMC.  al  igual  que  ticncn  dmbtlov  dc  actuacidn 
pmfciuxi.il  sc  parados  y  bten  dcfmidos  los  consuliores  y  lo*  audiiorcs.  Pucdc  cn  (odo 
caso  conlexiualirarse  la  “Peritacidn"  como  un  imbiio  profesional  affn  al  de  la 
"Consullorfa"  y  la  "Audtlorfa".  con  sus  obligadas  dtferenciaciones  en  cuamo  a 
elemeMos  conceptuales  comunes.  ules  como:  conrenido.  condition  o  cardcicr  del 
conienido.  caracterfstica  temporal,  justification  o  base  que  vustenu  el  conienido. 
objelo  o  elemento  sobre  el  que  se  aplica  la  justifWactOn.  y  fmaltdad  o  producto 
dcseadn  y  esperado  eras  la  actuacidn  profesional  propi amente  dtcha 

ConccptualmcMc.  son  abvolutamentc  cquisalentes  los  "experto*”  y  los  “pento*". 
si  bien  nada  liencn  que  ver  oqudllos  con  los  MespecialLsut>*.  cuando  sc  vaktran 
componcntes  dc  dedication  profesional  con  cardcler  prcfcrencial.  Cucsiiones 
dctemunanles  son  la  formation  cspccfftca.  cl  back-ground  profesional.  la  actitud  y  la 
conducia  ftica  en  estos  imbilos,  ere.,  ademis  de  su  emomo  y  salvoconduclo  laboral 
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(liccncia  fiscal.  cuotas  c  impoestos  ad-hoc.  etc.).  Important*  es,  asimismo.  la 
adquiskidn  dc  "expertise". 

Sue  If  n  identificarsc.  inapropiadamente.  termmos  pcrfcctancnte  difcrencudos 
talcs  como  “informe".  “dictamen"  y  “peritacidn".  No  obstante,  cmtfn  incline  tarifas 
oficiales  de  honoranos  rocomcndados  pot  las  Corporacioocs  d:  Derecho  l*ubJico. 
distintas  para  la  reahzaoon  dc  cada  uno  de  cstos  tres  npos  de  Irani jos  a  particulares. 
dc  I  os  tngemcros  en  el  marco  del  ejerckio  libre  profexional. 

lav  pent acionex  no  son  sdto  judicialcs.  uno  que  lambiln  pucccn  tenet  un  extinct 
extrajudicial  Los  arbitrages,  e  incluso  las  "  mediae  soncx”.  cobran  lucrea  cada  dia  mis. 
existiendo  institucioncs  pdblica*  y  privadas  que  se  ocupan  dc  faroreccr  este  tipo  dr 
salidas  para  la  rcsotucidn  dc  litigios  entre  las  partes  cn  dcsactcrdo.  La  firms  del 
“perito  profesiooar  se  ubrea  con  dctcnninxion  en  este  nuevo  contxto  jurfdico- social 

Tanlo  la  vigentc  l.F.C  /  Ley  dc  Knjuiciam icnto  Civil  de  1881  como  la  LEC  de  7 
de  cncro  de  2()00  que  en  Irani  cn  vigor  un  aAo  despuds  dc  su  publi.-acidn  cn  el  Bolrtfa 
Oficial  del  Estado.  rcconocen  cxpifcitamcntc  cl  "dictamen  period"  como  uno  de  los 
mcdins  de  pnicba.  Su  coctccio  plantejmiento  y  uso.  y  la  maestri i  en  su  rcdaccidn  y 
defensa.  psieden  ser  claves  para  la  retoluetdn  judicial,  aun  cuando  se  valore  pot  el 
tnbuml  "segiin  las  rcglas  de  la  sana  critka" 


26.9.  LECTURAS  RECOMENOADAS 

Peso  Navarro.  F..;  el  til.  Manual  de  Die  tame  net  v  Pentajet  In/ontdlicas,  Ed.  War  de 
Santos.  Madnd.  199$. 

l-'undaci6n  DINTF.L  (disersos  autores).  Ejerckio  Profeuonal  y  Autoempleo.  como 
Perito.  en  Multimedia  v  Comunicacionet.  Provecto  Formativo.  en  colaboracifa 
con  la  Conuinidad  dc  Madrid  y  la  Unidn  Europea:  Manual  del  Alumno  (Curxo  dc 
208  boras  lectivas),  Madnd.  octubrc  1999  <1*  Edicidn).  y  febrero  2000  (2* 
Edkidn). 

Fundaobn  DINTEL  (diversos  autores).  Ejerckio  Profeuonal  x  Autoempleo.  como 
Perito.  en  Informdtica.  Proyeclo  Formativo.  en  colaboracidn  con  la  Comunidad 
de  Madrid  y  la  Unidn  Europea:  Manual  del  Alumno  (Carso  dc  208  horas 
lectivas).  Madnd.  febrero  2000. 

Fundaci6n  DINTEL  (diversos  autores).  Perito  en  Prexencito  de  Rtesgos  Laborales 
Informdticos.  Proyeeto  Formativo.  en  colaboracidn  con  la  Comunidad  dc  Madrid 
y  la  Untdn  Europea:  Manual  del  Alumno  (Cursode  208  hons  lectivas).  Madrid, 
febrero  2000. 
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Rivero  Laguna.  J.;  rt  al Informes.  Dituimenes  v  Peritariones:  Ed.  FundactOn 
DINTI-X:  Sene  "Monograffa*  y  Publicacioncs".  ColecciOn  "Peritactooes  IT 
Profestonalct";  Madrid,  juho  2000. 

Rivero  laguna.  J.:  Peritajes  en  Tetnologias  <le  Us  Information  y  Comunitationes ; 
XIII  Encucntro  sobre  “InformAttca  y  Dcrecho":  7  y  8  mayo.  19*9:  Universidad 
Pontiftcia  Comillat  /  Instituto  dc  Informitica  lurfdica.  Acta*  del  Exuentro. 

Rivero  Laguna.  "Procesos  judiciales.  arbitrages  y  pentos  pr>fcs»onales.  en 
Tccnotogias  de  la  Information";  Ed.  ARAN/ADI:  Rev  AttuaUiad  Informdtira 
Aifin'aJa.  n*  31  (abnl.  1999).  pdginas  10  y  ss. 

Verdera  y  Toells.  E.:  Atgunas  tontideraciones  en  tomo  al  arbitraje  comerciai.  Ed. 
Cl  VITAS. 

Roea  Ay  mar.  J.  I..:  B  arbitraje  en  la  cent  rotation  international:  Ed.  ESIC  &  ICEX. 
Madrid.  1991. 


26.10.  CUESTIONES  DE  REPASO 

1 .  Difcrcncic  'consulioca''  dc  "auditoria"  y  "pcnlacidn  ".  a  pane  de  la  base  que 
justifica  su  corttcnido  conceptual  y  cl  producio  final  deseado. 

2.  Indique  el  contenido  que  define  el  imbito  de  aciuacidn  penfesional  de  un 
perito  f rente  al  de  un  auditor,  e  mcluso  al  de  un  eonsullor. 

3.  Expresc  tres  acepc tones  diferentes  para  el  coocepto  de  “Periu". 

4.  Enumere  diversas  categorias  y  Areas  de  peritijc  forense  privaio. 

5.  Cite  aquellas  Areas  dc  formacidn  espccifica  que  debrera  ttner  un  “perito 
profewonaT.  frente  a  las  actuaciones  puntuales  de  un  mero  tectuco 

competent*  o  “especwltsta".  en  *1  Amhito  del  ejercicio  profesional  corn)  lot 

6.  Distinga  entre  inlormc.  dictamcn  y  pcritacidn.  en  particuUr  indicando  la 
formula  para  calcular  el  valor  de  los  honorarios  que  sc  aglicarla  en  cada 
case,  en  una  situation  generic  a 

7.  Indique  algunas  formulas  concrctas  para  el  cilculo  dc  honorarios 
rccomendados  dc  "Infocmcs  tCcmcos-.  para  su  aplicacidn  en  el  case  de 
trabajos  de  ingenieros  a  partieu  lares 
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8.  Derma  los  do*  npos  h&skos  dc  artutraje  emre  k*  que  pueden  optar  las  panes 
para  dirimir  cucsliooe*  litigious  que  le*  afecun. 

9.  Difercncte  conceptual  mentc  las  liguras  de  "irbitro"  y  "mcdiadoe- 

10.  hnumcrc  los  medics  dc  prucha  csiablccido*  en  la  vigente  I.F.C  /  Ley  dc 
l-.njuiciimicmo  Civil  y  las  modi (icaci ones  introducidas  al  respecto  por  b 
LEC  de  enero  de  2000.  lanto  en  cuanto  a  denomination  come  en  cuanto  a 
orden  dc  prictica  de  los  mismos. 
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EL  CONTRA  TO  DE  AUDITORIA 


habrt  Daxttra  Frmindr;  dr  Martoi 


27.1.  INTRODUCClbN 

A  pern  de  que  nuestro  anihsis  te  centra  en  cl  cootralo  dc  audiloria.  anles  de 
comcnzar  con  ello  crcemos  convcnientc  intentar  dclunitar  cn  crfi  introduce  i6n  cl 
coocepto  dc  Audatoria  Informiuca.  Para  dlo.  empezarrmos  presentando  vahat 
definictooes  doctfmales  altarncntc  reconocidas.  luego  pasarrmos  a  plantcar  una 
includible  comparauva  coo  la  AuditorU  dc  CuenUs.  esquema  conparativo  qoc  sc 
seguiri  a  lo  largo  del  trabajo  por  ter  la  ml*  prdaima.  aun  con  tun  imponantes 
difaencias.  referenda  legal  disponibte.  y  lerminarcmo*  cstc  apartado  introductory 
con  algunas  nous  sobre  las  funcioncs  y  faxes  dc  esU  audiiorfa  dc  Km  stsicmax  de 
informacido. 

Una  vcz  concrcudo  cn  lo  posibk  cl  imbito  dc  actuacidn  de  la  Audiiorfa 
Informitica.  nos  permitiremos  una  breve  aproumaoOfl  a  la  naturilcza  jundtea  del 
cootralo  analtzado.  y  final  men  le  pasaremos  a  cstudiar  la  figura  contractual  qoc 
constituye  cl  marco  legal  cn  qtac  sc  dcsarrolla  esU  actividad  y  que  ct  d  objeto  de  cste 
trabajo  Para  lograr  exec  objetivo  principal,  y  dado  que  cn  la  defincidn  de  la  figura 
juddica  cn  que  coosislc  lodo  contrato  corns  acucrdo  dc  voluntadex.  bay  que  dclimitar 
cn  todo  caso  Ires  clctnentos  cscncialcs:  conscntimicnto.  objeto  y  causa  (art.  1261 
Cddigo  Civil),  nuextro  cstudio  seguiri  esu  estructura  detemunaCh  legal  mente  En 
cuanto  al  conscntimicnto.  ccntrarcinos  su  extudio  at  d  inilin*  de  las  panes 
inters mientes  cotno  prestadoras  dc  dicbo  conscntimicnto.  hacicido  una  especial 
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referenda  jl  perfil  del  auditor  informatico.  a  xu  rrxponxabilxlad  y  a  mi  pencncncia  o 
no  a  la  organuacidn  audttada  Con  relation  al  objeto  del  contrato  difcrriKiarcmox  l» 
dixtmtax  ireax  uixccptiblcx  de  ter  tometidax  a  la  rexrtidn  y  juicio  de  la  auditoria 
Finalmcntc.  examinaremox  lax  cauxat  de  1a  contrataodn  de  una  auditoria  y  ui  poublc 
obligatoncdad 

La  Auditoria  Inform* tKa  "com premie  la  revixidn  y  la  cvaluackWt  indcpendicnte  y 
objetiva.  por  parte  de  pervonax  indrpcndicntcx  y  tcdncamcntc  competcntcx  del  enterao 
informitico  de  una  enudad.  ahartando  lodat  o  algunax  de  tux  ireax.  Ion  cxlindarex  y 
pruccdinucntot  eo  vigor,  vu  idoncidad  y  el  cumplimiento  de  dvtoa.  de  lot  obyctixox 
fiyadov  lot  contntox  >  lax  normat  legale*  aplicablcx.  el  grado  de  xatitfaccido  de 
uxuanox  y  directi vox.  lot  controlcx  etixtontex  y  anilixix  de  kw  riexgox  relacionadot  con 
la  mfocmitica"1. 

la  Information  Syvtemx  Audit  and  Control  Axiociation  (ISACA)  define  a  la 
Aoditorfa  de  lot  Side  max  de  Informactdn  como  "cualquier  auditoria  que  attire a  la 
revixidn  y  evaluation  de  todox  lot  axpcciot  (o  alguiu  xecctdn/irca)  de  lot  xixtrimi 
automatiradox  de  procesamiento  de  informacidn.  intluyendo  procedinuentox 
rclacionadov  no  automllicov.  y  lax  iMcnrlacionex  entre  cUo*“  Sux  obyctivox  deben  xer 
hnndar  a  la  Direction  una  tegundad  ra/onablc  de  que  lot  controlcx  «e  cumplen. 
fundamenlar  lot  netgot  rexultanlex  donde  cxixtan  debtlidadet  ugmficativax 

Ya  que  no  teoemox  una  defimodn  legal  de  la  Auditoria  Informitica. 
return  re  mox.  una  vet  mix.  a  la  de  la  Auditoria  de  Cucntax  e  imcntarcmox  hater  un 
poralelicmo  entre  tut  elementot. 

F.n  ExpuAa.  la  normativa  en  maicna  de  Auditoria  de  Cucntax  sc  circunscnbe  a  la 
Ley  I9/I9CS  dc  Auditoria  de  Cucntax  <LAC>.  de  12  de  julio.  el  Real  Detrrto 
1636/1990.  dc  20  de  diciembtc.  por  cl  que  xe  aprueba  cl  Rcglamento  dc  la  Auditoria 
dc  Cucntax  que  dexarrolla  la  1.AC.  lax  Normat  TCcnicax  de  Auditoria  (NTA>.  )  demit 
rcfcrentiax  dixperxat  en  otrax  dixpoxicionet  de  diferente  rango  como  pueden  ter  el 
Cddigo  de  Comercio.  la  Ley  de  Sociedadn  de  RexpontaNlidad  l.iituiada. 
el  Rcglamento  del  Regixtro  Mercantil.  y,  lax  conxultax  puMicadax  por  el  ICAC.  En  d 
imbito  comumtano  europco.  en  la  actual  idad  el  manro  legal  curopeo  en  matena  de 
auditoria  xe  cine  a  la  IXtava  Lhrectiva  (rcgula  el  cyercicio  profctional).  a  la  Ctiarta 
Dircctiva  y  a  lax  Normat  Tdcnicax  de  Auditoria  naoorulcx. 

Axi.  el  Keglamento  de  la  Auditoria  de  Cucntax  dixponc  en  xu  artlculo  I : 

I.  Sr  rnttrklrra  por  auditoria  dr  curntat  la  attividad.  rrali;ado  por  una  prrttma 
cuahfitada  r  indeptnditnir,  contistrntr  m  anahzar.  mrdumlr  Ut  utilizocidn 
dr  lot  tfenkat  dr  rrtfridn  v  trnficoekn  tddnras.  la  in/ormackin  rconAmko- 
financitra  dr  duct  da  de  lot  documrntos  contahln  txaminadot.  y  qur  rknr 


Ram*  GoorJlrr.  M  A.  la  aafexti  wloraMdca'.  ra  a.  molaW  Wornum  .  Anan-a*.  a*  14. 

cticro  dr  1995.  pa/rjx  I  y  « 
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como  objelo  la  emisidn  de  un  informe  dirigido  a  potter  dt  mantfietlo  JU 
opinion  retponutble  sobre  la  fiabthdad  dt  la  ciiada  informant,  a  fin  de  que 
te  pueda  conocer  y  valor ar  dir  ha  tnformaciSm  por  urrerou 

2.  lei  acthidad  de  audiioria  de  cuentai  tended  neceianamenie  qie  ser  realizada 
por  un  auditor  de  (utntas.  mediarue  la  r mi  non  del  correiponiiente  informe  y 
con  sujecidn  a  los  requisilas  y  formahdades  eitablectdot  en  'a  Ley  19/1988. 
de  12  de  fulio.  en  el  preienie  Rtglamento  y  en  las  nomat  tfcniras  de 
auditoria. 


En  dcfiniliva.  pi  undo  a  cstmcturar  comparativamcnic  las  deli  rue  unes: 


fin  domic  existen  las  principals  divergencies  entre  las  dos  dcfmi.iooes  es.  dc  un 
lado.  cn  la  iocxiucncia  dc  una  mulacion  oficial  dc  la  profcsidn  dc  Audiioria 
Inlormliica  y.  dc  o(ro  lado.  cn  la  incxittcncia  dc  reglamcntacidn  esxctfica  dc  csu 
actividad. 

En  cuanto  al  primer  aspccto  rclalivo  a  la  titulacMta.  las  scmaja*  cc  una  iitulacidn 
oficial  son  cvidcnics:  sc  obricnc  un  con  sense  cn  la  actuac>6n.  «  establccc  una 
mctodologia  comiin.  sc  dispone  dc  nomas  l6cnicas  aclualicadas  por  los  propios 
profcsionalc*.  sc  csuMeccn  una  scrie  dc  criicrios  dc  responsahilidad  coherenics.  ic 
do<a  a  la  profesidn  dc  prestigio.  y  se  imponc  la  cxigencia  dc  actualizactin'. 


:  Tounto.  Mmao.  Ccolercncu  de  tfeatn  el  Scrnmno  dr  Auditors!  dr  lo»  Si*leraa»  dr 
Udcemaota  y  CoMnl  haerno  < AUDISt  '2000).  omnamtn  pee  Woradnm  Rurcfen  FjprtVn.  Madrid. 
Metro  2000 
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bn  ciumo  a  la  regulation  y  normas  csixtcntcs.  cn  la  actualdad  la  Organ i/acioo 
lie  Auditoru  Informitica  (OAI).  capftulo  cspahol  lie  la  ISACA.  ticnc  Unto  urus 
normas  tunicas  como  un  Cddtgo  dc  £nca  profevional.  bmre  las  fnmera*  dcitacan  los 
bstaiutos  dc  Auditonia.  la  Indcpcndcncia  profcstonal.  la  Educacidn  Profesioeul 
Continua.  la  Prcparacidn  del  informc...  bn  cl  xegundo.  se  impoex  el  cumplimiciModc 
las  normas  dc  la  Asociacidn.  servir  al  hcncficio  de  empleadorcs.  jeeionistas.  clientes  y 
puMico  en  general.  dcscmpcAar  las  labores  independiente  y  objc  ivamcMc.  obtener  y 
documentor  suftcicntc  material  hasado  en  hcchos  rcalcs.  intormar  a  las  partes 
apropiadas,  mantener  vs  lores  morales  en  la  conducu  y  el  canktcr.  A  (rases  de  la  OAI 
se  pt>ede  obtener  el  ccrtificado  CISA.  C'crtilied  Information  Systems  Auditor,  de  la 
ISACA. 

Dc  acucrdo  con  la  rcconocida  doctrina  que  opta  por  seguir  ur  conccpto  amplio  de 
la  Auditorfa  Informitica  para  evitar  que  se  rcdu/ca  a  un  conrnl  de  los  aspeetos 
informiticos  de  los  siuemas  dc  informacidn.  los  obyctisos  <fe  la  misma  poedea 
cl  as  i  Hearse  en  Ires  grandes  grupos: 

a)  Cotoboracidn  con  la  Auditorfa  dc  Cucntas. 

bl  Auditoru  de  los  propios  sistemas  inlomiittcos. 

c)  Colaboracidn  del  jurists  cn  la  Auditorfa  jurfdka  dc  los  cntxnox  infonnitiem1. 

I  .a  uliliucidn  dc  la  auditorfa  informal  tea  cn  la  primera  dc  sas  vertientes.  dentro 
dc  la  auditorfa  de  cucntas.  se  debe.  principalmente.  a  la  ncccsidad  de  ajustc  en  la 
cspecificacidn  dc  los  riesgos  del  negooo.  Sin  embargo,  la  auditorfa  mformitiea  es 
muebo  ntis  que  eso,  y  se  ocupa  dc  distintos  y  amptios  tenus  como  cl  anilisis 
cstratdgico  dc  los  sistemas  implantados.  su  adccuacidn  al  negocto (actual  y  futuro),  el 
tiempo  de  respue  da.  la  capacidad  de  la  organuacidn  dc  responder  a  cambtos  c 
implantar  solucioncs  a  medida.  etc.  bntre  las  r atones  que  explican  la  evolucidn  de  la 
auditorfa  inform, ftica  destacan  la  dependencia  de  la  informitica  por  parte  de  cualquicr 
cntidad.  los  riesgos  novedosos  referentes  a  la  informitica.  cl  cambio  en  la 
concicnciacidn  del  empresario.  el  uso  de  lot  datos  de  carictcr  personal  de  forma 
aulomaii/ada.  la  seguridad  en  (odas  sus  faceUs...*.  Y,  en  otncrcto,  dentro  dd 
denominado  riesgo  de  control  sc  ha  introductdo  un  nuevo  clemento  dc  vital 
importancia  y  al  que  b»en  pudiera  dirsele  categoria  dc  elcnento  individual:  U 
tecnologfa  de  la  informaetdn.  y  que  ha  dado  lugar  a  la  utili/acidn  dc  la  informitica  en 
los  sistemas  contablcs.  que  a  travds  de  la  tecnologfa  dc  la  infomucidn.  cada  ve i  mis 
soTisticada.  ha  propiciado  sistemas  dc  informacidn  que  incorpcran  nuevos  riesgos. 
peculiars  y  cspecfftcos  que  dan  origen  a  la  consultorfa  y  auditorfa  informitica'. 


*  Del  Peso.  K.  la  MUerta  juMsa  tie  b  sou  informUm".  Confncoo*  putuisiafa  cn  cl  VI 
Csogrrso  Ibatwxnnin  dc  Dmdo  c  InfucnUnia.  pignut  $4$  y  n. 

'  lane.  Da«d  A.  ‘la  audilwb  infonnfeKa  y  so  cvofectfo*.  cn  /■’•irtufa DoMc.  lT  9f.  dsoembre 
I99K.  rUptus  7*  y  »v 

Hcminder  Casta.  A .  ‘la  cuantiHcKHtn  del  ne»p>  cn  auduurla".  cn  (Vide  ItMr.  a*  KB.  atnt 
I99K.  pignut  7}  y  ta. 
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La  utili/acuSn  de  wurnw  cxpertox  en  auditoria  ex.  por  ta  tamo.  un  leina  dixtinto 
que  consiste  cn  introduce  el  um>  de  la  hcrramicnu  cn  U  funcu'm  dc  auditoria 
traditional  No  ohxtantc.  a  pexar  de  que  no  xe  puede  reduce  cl  objclo  de  la  auditoria 
informilica  a  la  audilorij  reah/ada  con  compuiador  o  con  hcmmieniax  informancax. 
com  porta  c  ictus  vcniijv  hoy  en  dia  de  todo  punio  imptesondiMes  coo  sets  a  el 
cooocimicnto  cxperto  de  lox  auditorcx  dentro  dc  la  cmprcsa.  aumenla  la  capoodad  de 
lot  cxpertox  para  mane>ar  grander  volumencs  de  datox  >  rcali/ar  anilisis  compiejov. 
axexora  cn  la  lonu  de  dccixioncx.  permitc  una  comprensidn  mix  profunda  del 
conocinucnto  dc  tax  expert  os.  pcrfccciona  la  productividaJ  del  personal.  aumcMa  km 
servlciox  ofrccidos  por  lax  emprexax  de  auditoria.  >  funoncu  como  herranncnla 
pcdagdgica  y  de  formacidn  del  personal  para  tranxnutir  cl  conocimiemo  de  lox 
auditorcx  expenox  a  lox  mievos. 

En  cuanto  a  lax  faxes  en  que  xe  puede  dcxcomponer  un  proeexo  de  decision  en 
auditoria.  una  propoesta  de  exquema  podnia  set  la  xiguiente* 

1.  Oriemaaon:  el  auditor  obticnc  conocimientox  xobre  lax  opcracioncs  del 
cliente  y  xu  entomo  y  hacc  una  valoracidn  preiinunar  del  nexgo  y  dc  la 
importancia  rclatixa. 

2.  F.wluariOn  preliminar  de  lox  controles  i memos 

3.  Planificacidn  tdctica  de  la  auditoria 

4.  Election  de  un  plan  para  la  auditoria. 

5.  Pmeha  de  cumpUmienio  de  lox  controles 

6.  Evuluac tOn  de  tax  controles  internes  havada  cn  lox  rcsultados  de  lax  pruebas 
de  cumplimiento 

7.  Revifian  del  plan  de  auditoria  preliminar. 

8.  Eleccidn  de  un  plan  revisado  para  la  auditoria. 

9.  Realization  de  pruebas  sustantinu. 

10.  A* aluacidn  y  agrtgacidn  de  lox  rexultadox. 

1 1 .  Eixiluacidn  de  la  evidencia.  Podria  dar  lugar  a  unax  pruchav  mix  exhauxtixax 
o  format  la  base  dc  la  clcccidn  de  la  optntan  por  cl  auditor. 

12.  tleeeidn  de  una  opinion  que  cUtifiquc  tax  cstadox  fmancicros  del  cliente 

13.  Informe  de  auditoria. 

Para  terminal  con  estc  apartado.  una  breve  referenda  a  la  debatida  option  entre 
auditoria  interna  y  externa,  con  relacidn  a  la  problemilica  de  la  indepeodencia.  el 
mejor  coooctmiento  de  la  organuaetdo  en  xu  con  junto  y  cl  ncccvario  >  conxtante 
mantenimiento  y  supers  istan  en  ra/dn  del  peculiar  objeto  de  la  auditoria  informilica 

La  independencia  ex  una  caracterixtKa  exencial  cn  la  auditoria.  Conxtituyc  un 
requisite  nuclear  sin  cuya  prexencia  xe  skia  todo  el  recorrido  posterior  Por  ta  tanto. 
puriicndo  dc  exta  premixa.  el  axeguramiento  de  la  independencia  ex  una  exigeocia 
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obligada.  no  sicndo  tste  el  lugar.  cn  nuestra  opinion,  para  profundirar  ro 
disquixtciooes  mis  o  mcnos  improductivas  accrca  dc  U  mayor  indcpendcncia  a  priori 
de  la  auditoria  externa  (rente  a  la  interna  y  vicevena.  La  indcpendcncia  dene  que 
cxistir  y  *er  mam  fiesta  y  comtatabic  cn  el  caw  coocreto. 

IV  todas  formal,  no  convienc  olvidar  que  cn  el  caso  cspccffico  de  la  auditoria  dc 
U»  uoemai  de  infcrmacido.  domic  se  preienun  lai  pcculiaridades  ei  principal mente 
cn  la  spccifictdad  del  objeto  de  la  auditoria  en  if.  lo  que  hace  que  sea  imprrsci  rubble 
un  conocimicnto  intemo  de  loi  uitemai  de  informacidn  y  del  flujo  de  la  mformacido 
en  la  empresa  en  custidn.  Y  dsla  ei  una  de  lai  principals  rxrooei  que  apoyan  cn  sta 
materia  la  constituctdn  de  un  deparumento  dc  control  iMemo  dc  loi  liitemai  de 
tnfoemacidn  de  manera  inctitucionali/ada  en  la  organiracidn  en  cucstidn  Todo  ello  un 
pcrjuKKi  dc  la  rccomendablc  compatibilidad  de  antbax  options  aunque  sea  de  forma 
spor  adic  a  en  funcidn  de  la  tan  intocable  eficiencia  cn  loi  costs. 

En  todo  cam.  sc  opte  por  la  altcmativa  que  se  optc.  ants  dc  encargar  al  exterior 
un  trabajo  dc  sta  naturalc/a  se  ha  debido  reali/ar  un  csfucr/o  intemo  coniidcrablc.  y 
sc  deben  tener  ccmadas  las  discreponcias.  asf  como  las  diferents  altcmativas  en  c am 
de  litigto’. 

27.2.  UNA  BREVE  REFERENCIA  A  LA  NATURALEZA 
JURIDICA  DEL  CONTRATO  DE  AUDITORIA 

Convienc  empe/ar  por  asentar  la  casi  total  aceptacidn  por  parte  dc  la  doctrina  del 
caricicr  contractual  del  vfnculo  que  sc  stablcce  entre  la  socicdad  y  el  auditor,  frente  a 
las  cscasas  discrepancias  que  abogan  por  una  lexis  "organicista".  La  calificacidn  de 
contractual  se  apoya  fundamental mente  en  trs  ra/ons.  En  pnmer  lugar  lo  citahlccido 
exprsamente  por  el  artkulo  14.2  de  la  Ley  dc  Auditoria  de  CocMas  que  sc  reficrc  al 
"contrato  de  auditoria".  En  xegundo  lugar.  la  Ley  de  Socicdadcs  Andnimas  que 
deliberadamente  excluye  sta  materia  del  capftulo  de  drganos  socials.  Y.  finalmcnee. 
porque  su  calificacidn  como  drgano  seria  insertar  al  auditor  dcntn>  de  la  cstructura  de 
la  socicdad  y  considerarlo  como  parte  integrate  dc  la  persona  juridica.  lo  que  rcvulta 
contrario  al  spfritu  dc  la  Icy  que  lo  configura  como  una  "instancia  externa  e 

indcpcndicnlc  dc  control"*. 


Ademis  de  la  dificultad  aAadida  que  suponc  la  inexislcncia  legal  de  la  figura  de  la 
auditoria  tnformilica.  tampoco  en  la  traditional  comparacidn  analdgica  con  la 
auditoria  dc  cucntas  existe  unanimtdad  doctrinal  cn  lo  que  a  su  naturale/a  juridica  se 
reficrc. 


RincOn.  Fanilm.  "Aula  Financwn  la  Aoicccla  lafcrmtoca  imlo  )  icaIhUJ".  rn  fnvuiorw 
rtmm.  ttn.trt2.  »t»il  l*»l.  pSjuuo ’fty  w 

*  Mrntndcr  Mraredcr.  A .  "fcl  rontraio  dc  auditors*  y  la  irraunaoe*  unilateral  del  miuno  pcc  ct 
auditor",  cn  Rritito  CVihirai  dc  IXrmho  tnmoMano.  n*  622.  Mayo  jumo  l*»4.  pipiui  I4X$  y  «s 
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Sin  pretender  rcali/ar  una  investigation  cxhaustita  de  lot  potiblet  cncuadres 
conceptual  de  la  figure,  mcncionarcmox  limeamcme  la  divergcoeia  doctrinal 
cxistcnte  en  cuaMo  a  su  conception  corno  un  arrendamiento  dc  uerviciov.  aludicndo  a 
la  profesicxulidad  de  la  figure,  o  como  un  arrendamiento  dc  obra.  aludicndo  a  la 
includible  ncccxidad  de  la  materialization  del  cootraio  en  el  informc  de  auditorfa  quo 
constituyc  el  resultado  que  caractcriza  al  contrato  como  un  arrendamiento  de  extas 
caractcrixiicax. 

Nucare  opinidn  sc  dccanta  per  la  figure  dc  un  contrato  de  arrendamiento  de 
xerviciox.  scrYicio*  que  %e  devuToHan  a  lo  largo  de  un  penodo  temporal  determinado, 
y  que.  vi  bien  sc  concretan  en  la  cmisiOn  dc  un  informc  de  auditorfa.  la  lihcnad  del 
auditor  y  la  falta  de  capacidad  de  decision  del  auditado  sobre  Uw  contcnido*  de  dicho 
informc  Ic  privan  de  la  caracteri/aciOo  del  rcMiltado  rxperado  a  dicho  contrato  y  le 
confiercn  una  luturalc/a  de  prcuaoOo  de  serviciox  cuyo  reuiltado  no  sc  pucdc.  por  lo 
mcnoi  en  gran  medida.  prever.  o.  mejor  dicho.  cuyo  reuiltado.  en  cuanto  a  inclusion 
de  conlemdot,  no  sc  poede  pactar. 

Kitu  coractc rut  leas  sc  pueden  contraMar  en  vanox  tugarex  De  un  lado.  \i  cl 
rcsultado  del  contrato  esluviera  perfcctamentc  delimitado.  no  habrfa  lugar  a  la 
aparicidn  del  tan  nombrado  gap  <tr  txptctativa\.  o  dtferencia  dc  cxpectativav  entre  lo 
que  lot  uxuariot  experan  obtencr  del  informe  de  auditorfa  y  lo  que  sc  obtienc 
tcalmcntc  De  otro  lado.  no  cxistirian  tan  diverxas  elates  de  mformex  de  opimdn.  pane 
integrant*  de  todo  informc  de  auditorfa  que  resume  >  concluye  el  juicto  del  auditor 
sobre  las  utuacioncs  anali/adas  y  los  nexgox  evaluados. 

La  jurisprudence.  entendida  en  vrnlulo  amplm  com o  todo  pronunciamtento  dc 
tribunal  en  el  ejcrckio  de  sus  competencias  y  no  como  la  dcrivada  del  Tribunal 
Supremo  que  adcmls  cumpic  los  requisitos  de  rcpcticidn  e  tdcntidad.  por  su  parte.  Iu 
definido  lo  siguientc:  "...  la  auditorfa  de  cue  Mas  cs.  por  lo  tanto.  un  tervicto  que  »e 
presta  a  la  empresa  rexisada...'". 


27.3.  PARTES  EN  UN  CONTRATO  DE  AUDITORIA.  EL  PERFIL 
DEL  AUDITOR  INFORMATICO 


27.3.1.  La  entidad  auditada 

1  -a  empresa  que  xolkitaba  una  Auditorfa  Informitica.  hasta  la  actual  nomutiva 
que  veremos  mis  adelante.  lo  haefa  porque  constataba  una  serie  dc  debilidades  y/o 
amcnazas  prosen ientes  de  sus  sistemas  de  information. 


’  SrmciKu  del  Tnbuiul  Suoencr  de  Justicu  <lc  Mjdnd.  o-4IS.  4  de  mixode  IWT. 
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Pur  lo  unto,  la  cmprcsa  quc  nctcsitaha  CMC  npo  de  servkios  lo  quc  estab* 
demandando  on  rr alidad  cm  una  sotuckta  a  mis  problems*  on  Umunot  dc  cficicncia  de 
mis  sistcmas.  mis  quc  una  vcrificacidn  o  una  revision  del  cumplumcnio  de  lot 
controlc*  cstablccidos.  E*  dccir.  vc  prctcrxlia  un  ascsoramiento  espccializado  on  b 
gestidn  de  dicbos  sistcmas.  funcidn  mis  cere  ana.  como  semos.  a  la  consultoria. 

Sin  embargo,  cada  vc/  mis  las  empress.*  son  consciences  de  la  relevancia  del 
somcumicnto  del  elemento  si  no  imprcscindiblc  si  completamente  cscncial.  cons- 
tituido  por  los  siscemas  de  Iralanucnlo  dc  la  inform aerdn.  a  una  sene  dc  revisiooes  y 
corn  roles  cnire  los  que  destacan  cl  de  seguridad.  el  de  calidad  o  cl  dc  la  procecctda  de 
dal  os  de  caricler  personal  por  su  preponderance  cn  virtud  de  su  obligatoricdad  legal 
Hoy  cs  indispensable  disponcr  en  lodo  momenco  y  de  una  forma  ripwJa  de 
mformacidn  sufic lemc.  accuali/ada  y  oportuna.  Y  esio  sdlo  sc  puede  garaMi/ar 
manieniendo  los  siscemas  de  tratanuento  de  dicha  informacidn  en  pcrfccto  cslado  que 
sdlo  te  ccrtiflca  medunec  la  corrcspondieMe  reali/acidn  de  la  pertinence  audiioria  de 
dichos  sivtcrna*  de  informacidn. 


27.3.2.  El  auditor  inform6tico 

Las  nuevas  lecnologfas  dc  la  Informacidn  y  las  Comunicaciones  esiip.  creando 
nuevos  canales  y  hcrramicnias  para  la  gcsiidn  de  ncgocios.  El  auditor  traditional,  csto 
cs.  el  auditor  dc  cucntav.  no  se  encuentra  capacitado  cn  tdrminos  de  format ido  para 
afrontar  los  nuevos  riesgos  dcrivados  de  la  utili/acidn  de  las  lecnologfas.  Dc  abl  que  se 
haga  imprcscindiblc  la  existence  dc  la  Auditorfa  de  Siscemas  de  Informacidn'". 

F.fltrc  las  caracterfsticas  del  auditor,  y  como  ya  he  mo*  scAalado  cn  la  comparativa 
cxpucsta  al  inicto  del  trabajo.  dcstaca  la  independence  Podcmos  definir  b 
independence  del  auditor  como  "la  auscncia  de  intcrescs  o  influent  ia\  que  permitc  al 
auditor  actuar  con  libertad  respevto  a  su  juicto  profesional.  para  lo  cual  debe  estar  libtc 
de  cualquier  predisposiodn  que  impida  su  imparcialidad  en  la  considcracidn  objetiva 
de  los  hcchos".  Los  pnsblemas  puede n  clasifkarxc  en  tres  grupos  principal mente:  b 
compatibrlidad  dc  la  prictica  dc  la  auditorfa  con  las  ascsorfas  legates,  el  interlocutor 
del  auditor  dentro  de  la  empresa  auditada,  y  la  rotacidn  del  auditor 

En  otto  orden  dc  cosas.  a  pesar  dc  que  calificamos  dc  profesional  al  auditor,  hay 
que  precisar,  remiiicndonos  una  se/  mis  a  la  comparactdn  con  la  auditorfa  de  cucnus 
quc  la  Ley  dc  Auditorfa  dc  Cuentas.  scgiin  aclara  cl  Tribunal  Constitutional 
respondiendo  a  una  alcgaodn  referentc  a  la  vulncracidfi  por  la  LAC  del  anfculo 


“  Mur  Bohifas.  AHoeso.  Un  irntctoi  Jr  adMi  titirno  Jr  normal  Jr  uformm\Aa.  Snwiarn 
Auditorfa  dr  kn  Solemn  dr  Infcmuodn  y  Consol  laermu  (AL'DISI  '2000).  orfjniralo  por  lafonnttKos 
biKpon  iUpriK*.  Madrid,  tebrero  2000 

"  Loo  Lara  B  y  Serrano.  K .  "La  audiioria  >  debate:  presenir  y  n  farnJu  /AV*.  »*M 
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regulador  dc  l«  Ixy  de  Colegit*  Profcsiooales.  no  regula  cxacumenie  una  ptofcMOn 
liberal.  rino  una  actividad  que  pucde  sc r  realiud*  por  profcsaoeudcs.  pcro  ni  lot 
proferionales  han  de  reali/ar  sdlo  cm  actividad.  ni  esta  ha  de  comtiiuir  cxclusivamente 
cl  obyeio  de  una  profesi<Vn,^ 

En  cvanto  a  la  suyecibn  legal  del  auditor,  todos  los  profesionaler  quc  dcsarrolUn 
su  labor  en  el  campo  de  la  auditoria  dc  cuentas  esUn  someiidot  a  una  seric  de  normal 
quc  tiptltcan  su  capacidad  profesional.  la  condocta  para  llevar  a  cabo  su  comet mIo  y  la 
forma  de  emitir  el  infortne  I  aw  aodilores  informiticoi  no  son  una  cxcepcidn.  aunque 
adcmSi  de  ben  curnplir  una  sene  de  requisites  y  directrices  que  les  son  inhere  ntes.  Las 
diferencias  no  *6lo  alec  tan  a  las  normal,  puesto  que  su  comctido  umbtfn  dificrc  y 
const stc  en  la  revisten  de  la  funetdn  tnformitica  o  pane  de  clla.  sus  Areas  de  revnadn 
son  asimismo  onginales  (organiuctonal  del  departamento  de  SI.  de  segundad  de 
acccvos  Idgicos.  ffskox  y  controler  medioambienules.  de  act uac tones  frente  a 
desastres  con  los  planes  de  recuperacidn.  del  software  de  sisiema  en  cuanto  a  las 
political  sobre  su  desarrollo.  adquiskibn  y  mantenimiento.  de  software  de 
aplicacioncs  y  de  control  dc  aplicac tones,  asi  como  las  cspecifkas  de 
telecontunicaciones.  bases  de  datos  y  usuartos)  y.  finalmente.  tambiln  pueden  scr 
diferentes  sus  teemea*  utiliudas".  En  cue  punto  tambkn  es  mis  que  re  sal  table  la 
existencia  dc  unos  condicionanter  idem  nnperantes  en  el  eyerctcio  de  csta  profesten 
que  por  su  especial  autooomia  precisan  una  especial  atenodn.  Pues  si  es  scr ilad  que 
c.ustcn  todos  estos  referentes  que  deliinitan  profesionalmente  la  definkibn  dc  la 
auditoria  de  sistemas  de  informacten.  no  es  me  nos  cierto  que  el  asentamiento  de  la 
profesidn  requiere  tamhkn  de  la  creacibn  y  seguimiento  de  eddigos  deontoldgKcw  quc 
apoyen  los  minimos  necesarios  constituidos  por  los  estindares  norma uvos 

Las  Normas  Tdcnkas  de  Auditoria.  saguiendo  con  el  anilins  comparativo  del 
etquema  normal ivo  existence  en  la  Auditoria  de  Cuentas.  son  un  instrument.! 
rcgulador  peopio  de  la  profesidn.  Exisien  normas  kenkas  de  cannier  general,  sobre  la 
cualiftcacidn  del  auditor,  la  calidad  de  su  trabajo  en  el  ejercicio  de  su  profesidn  y 
aspectos  de  ilka  profesional.  Tamhkn  podemos  enconirar  normas  kcmcas  sobre  la 
ejecucidn  del  trabayo  quc  delerminan  los  proccdunientos  a  apltcar  por  los  auditores. 
Finalmente.  encootramos  tamhkn  normas  kcmcas  sobre  elaboracidn  sic  informer, 
donde  el  anditor  mfnrmitko  debe  exporter  kw  obyettsot  de  control  no  cubic rt or 
adecuadamcntc  asf  como  las  recomendaciones  a  praetkar1'.  En  cuanto  a  la  naturale/a 
y  cficacia  de  csiats  OTA.  y  de  nuevo  rccumendo  a  la  inevitable  analogfa.  hay  que 
emender  su  caricter  puramente  normativo  como  su  propu  denominaetdn  indica.  poer 

"  Bttnwt  M  tic  Villareal.  A.  M  .  la  try  dc  AndlMi  de  Carman  y  los  (Vpanoa 
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son  mcras  Ifncas  gcncralcs  dc  actuacidn.  por  lo  quc  la  alcgacidn  ante  los  mho  rules  dc 
su  falta  de  publication  cn  el  Bolctin  OOcial  del  Estado  cs  una  insistcncia  sin 
fundamemo.  pun  cste  requisite  cs  exigible  ilnicaincntc  para  las  leyes.  segiin  el 
articulo  2.2  del  Cddigo  Civil. 

Con  rc  lac  ton  a  las  funcioncs  del  auditor  infomUtico.  su  actividad  puedc  aharcar 
desde  aspect©*  funcionales.  como  la  adecuactdn  de  k>*  sistemas  de  uiformacttin  a  las 
necesidades  realcs.  hasta  la  revisidn  sle  los  t tempos  de  respue sta.  pasando  por  la 
tiabilidad  de  los  sistenu*.  Por  supuesto.  los  aspectos  tdcmcos  son  los  que  ofrcccn  un 
mayor  campo  de  actuacidn:  desde  el  comicnzo  con  el  compuiador  y  sus  pcrifdricos. 
los  coovcmot  utilirados  para  la  codificacidn  de  datos.  los  procedi miemos  de  captura 
de  cstos.  la  cxplotactdn.  la  programacidn.  las  comumcacioocs.  o.  edmo  no.  toda  la 
gran  Area  sic  la  seguridad.  ffsica  y  Idgica.  y  de  la  calidad"' 

El  auditor,  cn  cl  dcsarrollo  de  su  trabajo.  ha  de  obtener  cvndencta  «k  los  hechos. 
criterios  y  elementos  quc  estA  evaluando.  con  la  linalidad  de  formarse  una  opinion. 
Dtcha  cvidcncia  dcberA  scr  suticienic  y  adccuada.  Sufic  iente  cn  cuanto  a  la  caMidad 
de  cvidcncia  a  obtener  y  adccuada  con  rclacidn  a  la  calidad  de  la  misma.  cs  dear,  a  su 
carActer  concluyente.  Pero  para  obtener  la  cvidencia  adccuada  el  auditor  dcberA 
guiarsc  por  los  cntcrtos  de  imponancia  rclativa  y  nesgo  probable.  El  de  la  importancia 
relativa  supone  que  no  lodos  los  hechos.  chtenus  y  elementos  que  f orman  parte  de  los 
docu memos  contablcs  son  de  la  misma  imponancia.  Existen  algunos  cuya  imponancia 
cs  decisiva  dcr.tro  del  contcxto  general  para  la  opinidn  quc  cl  auditor  va  a  cmitir.  La 
importancia  rclatisa.  de  otro  lado,  es  un  idmuno  de  los  encuadrables  cn  la 
dcnominacidn  jurfdtea  sic  concepto  juridico  indctcrmmado.  pucs  la  mayorfa  de  los 
pronunciamicntos  profesionales  dejan  cn  manos  del  buen  juicio  y  cxpcncncia  del 
auditor,  aunque  cxisicn  una  serie  de  constderaciones  generates  que  sirven  de  gula  para 
fijarlu.  dependtendo  de  su  aplicacwVn  al  caul  concrete  del  contcxto1’. 

El  auditor  sic  Sistemas  dc  Informacidn  debe  tenet  la  capacidad  y  los 
conocimientos  tdcmcos  para  revisar  y  evaluar  cl  control  intemo  del  entomo  cn  quc  se 
desamillan  y  prtxesan  los  sistemas  de  informacidn.  capacidad  para  revisar  riesgos  y 
controles.  evaluar  y  rccomendar  los  controles  neccsario*  dc  los  sistemas  de 
information,  y  capacidad  para  dtscAar  proccdinucntos  y  tdcmcas  de  auditoria 
especificas  para  este  tips*  de  actividad.  El  auditor  dc  sistemas  sle  informacidn  enipie/a 
a  ser  un  gcncralisu.  porque  tienc  que  ser  conscientc  de  quc  los  sistemas  dc 
informacidn  son  un  punto  clave  en  una  organi/acidn". 
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Otra  cucsiidn  tratada  cn  la  doctnna  es  la  del  desistimienlo  del  audlor.  bntre  Us 
causa*  que  pueden  considcrarsc  sufiocntes  dcstacan  la  imposihilidKl  flwca  dc 
cumphmicnlo  del  contrato.  la  ncccndad  de  a  tender  a  ottos  drberrs.  l*s  causa*  de 
mcompatibitidad.  la  pcrturhacidn  de  Us  rclacioncs  dc  confianza  enlrc  el  auditor  y  lo» 
admimstradores  de  la  socicdad  auditada  o  kn  mcumplimicntos  dc  k*  deberes  dc 
cooperacidn  por  pane  de  la  socicdad.  bn  cad a  uno  de  los  earns  habra  qu:  dilucidai  mi 
proccdencia  o  improccdencia  a  elector  de  denmitar.  enlrc  otra.  cocas,  las 
consccucncia*  jurldicas  de  dkha  lermmacidn  unilateral  del  contrato1’. 

In  rcsponsabtltdad  del  auditor  e*  otro  tema  poldmico  en  la  dcctnna.  en  la 
Rcsotucidn  del  ICAC  de  18  de  junto  de  1999  se  somete  a  inlormacidn  puslica.  por  sets 
metes,  la  Norma  Tdcnica  de  Auditoria  sober  ''errores  e  irregulandades"  cuyo  objeto  es 
e  stables  et  los  procedi  nuenlos  que  el  auditor  tiene  que  a  pi  tear  cuando  detecta.  >  en  su 
caso  informs.  errores  e  irregulandades  que  pudieran  cxistir  en  los  cstados  fmancieros 
objeto  de  su  auditoria  asi  como  delimitar  su  rcsponsabilidad.  I -a  norma  dsunguc  entre 
incgularidades.  como  actor  u  omisioocs  mtencionador  o  negligcntcs  comctido*  por  el 
personal  de  la  empresa  o  por  terccror  que  aheren  la  informacidn  comcnida  en  los 
cstados  c notables,  y  errores.  como  actor  u  onuuones  no  mtcncionados  pie  aumismo 
altercn  dicha  informaeidn.  Cuando  se  denvase  la  postble  exittcncu  de  errores  e 
irregulandades.  el  auditor  debe  esaluar  sus  elect  os  potenc  tales  en  las  cu.-ntas  anualc*. 
y  comunicar  a  la  direccidn.  tan  pronto  como  sea  poublc.  su  existencia.  La  norma 
propone  que  inlorme  del  asunlo  a  un  nisei  superior  al  de  las  personas  presuntamente 
unplicadas  y.  cuando  los  tiltimos  rcsponsablcs  de  la  gcrencia  tstfn  tambiCn 
itnplicados.  cl  auditor  deberi  obtener  el  adecuado  asesoramicnto  legal. 

bn  1999  sc  ha  creado  una  subconusidn  que  ha  iniciado  cl  r studio  de  la 
modificacidn  de  la  Ley  de  Auditoria  de  Cuentas.  l-.ntre  las  demandas  dr  los  auditores 
destaca  la  ncccudad  de  dehmitar  la  tcsponsabilidad  del  auditor.  Los  auditores  opinan 
que  el  carictcr  ilunitado  y  solid* no  de  su  rcsponsabilidad  es  exceiivo.  y  asl  lo 
confirma  el  borrador  de  la  Ley  de  Soctcdades  Profesionales  que  mtroducc  esu 
rcivindicactdn  y  cxime  de  rcsponsabilidad  a  aqucllos  socios  dc  la  firmi  de  auditoria 
que  no  hayan  firmado  el  mformc.  bn  la  actualidad.  a  tenor  de  lo  dispucsto  en  el 
wtlculo  1 1 .2  de  la  LAC,  un  demandantc  puede  actuar  sobdanamcnlc  cortra  cualquiera 

de  los  socio».  auditor**  de  una  firm*1" 


Para  termmar.  queremos  hacer  referenda  a  una  figura  que  esti  ganindo  una  gran 
accptacidn  en  la  doctnna.  en  las  orgam/aciones  cspecialt/adas  y.  en  drfinitiva.  en  la 
profestdn:  los  Comitds  de  Auditoria.  El  objettso  del  comitd  es  contnbsir  a  la  mejora 
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dc  la  gestidn  corporativa  y  garanti/ar  la  asuncida  dc  rexponsabtlidades  oponunax  xobrt 
cl  control  intemo’1. 

Scgtln  sc  desprcndc  dc  los  informes  dc  rcnombrados  comics  o  comiuooes  dc 
expert  cm  cn  rclacidn  con  extudio*  llcvados  a  cabo  sobre  exu  materia.  los  Cormtds  dc 
Auditoria  conxtituyen  una  preza  clave  cn  cl  cumplimicnto  dc  lax  rcvponxabilididex  de 
vigilancia  que  los  Conscjos  dc  AdministrackSn  lienen  sober  la  infomuetdn  financier* 
que  lax  xocicdadcx  facilitan  a  sux  accionisus  y  a  tcrccrox.  sobre  los  controlcs  intemot 
que  ticrten  cxtablccidos  y  sobre  los  proeexos  dc  auditorial.  unto  interim  como 
externa*.  Un  Comitd  compucsto  excluMvamente  dc  nuembrox  indcpcndicntcs  y  sia 
rcsponsabtlidad  cyectMiva  alguna.  redundaria  ncccxanamcntc  cn  una  mejor  supervision 
dc  lax  actividadcs  dc  la  xociedad.  lo  que  sc  iraductrfa  cn  una  mejor  defensa  de  los 
internes  dc  los  accionixus.  presentes  y  futures.  as(  como  dc  tcrccrox  intcreiados  cn  la 
buetu  mareba  de  la  xocicdad  l.os  Comitlx  dc  Auditoria  de  lo*  Contejox  de 
Administracidn  xon  exigido*  por  la  Bolxa  dc  Nueva  York  como  requisito  para  admitir 
una  xocicdad  a  cotizacidn  y  para  que  poedan  seguir  operando  las  xocicdadcx  ya 
admiudax  Del  rnixmo  modo.  los  Comitds  de  Auditoria  ban  xtdo  rccomcndados  por  el 
Informc  Cadbury". 


27.3.3.  Terceras  personas 

I  j  tnformacidn  fmancicra  ha  ampliado  su  campo  dc  comumcaciAn  cn  cl  sencido 
dc  que  ya  no  intcrcxa  s<Ho  a  lox  acctonixux  o  propietanox  dc  la  empresa.  sino  Umbidn. 
cn  la  mcdida  en  que  ha  atendido  a  lax  implicacioncs  dc  la  rcxponxabtlidad  social,  ha 
ampliado  la  audicncia  a  la  que  va  dirigida  dicha  informacidn  Axi  pucs.  cl  actual 
conccpto  dc  usuario  ya  no  xe  rcficrc  xdlo  a  propicurio.  sino  que  sc  extiende  a  todox  lox 
intcrcxadox  cn  la  actividad  cmprcxarial.  entre  lox  que  sc  cncuentra  la  colectmdad  en 
general’ '. 


Axi  sc  scAala  cn  la  Sentencia  del  Tribunal  Superior  dc  Juxticia  dc  Madrid  n*  415 
dc  4  dc  mayo  dc  1994  ya  citada:  "la  auditoria  dc  cucntax  ex  un  scrvicio  que  xe  pcesu  a 
la  empresa  revixada  y  que  afccU  c  intcrcxa  no  sAlo  a  la  propia  empresa.  sino  uvnbi/n 
a  lerceros  que  mantengan  relacionex  con  la  misma.  habida  cucnu  que  todox  el  lox. 
empresa  y  tcrccrox.  pueden  conoccr  la  calidad  de  la  informacidn  econdmico-conuble 
sobre  la  cual  \crsa  la  optnidn  cmitida  por  el  auditor  de  cucnias”. 

En  la  dcclaraci6n  "A  Statement  of  Basic  Accounting  Theory"  en  1966  de  la 
American  Accounting  Association,  en  que  por  primera  vez  sc  haec  una  refecencia 
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cxprcsa  a  la  funcidn  social  de  la  contahdidad.  se  cslableccn  I  os  objetivos  de  la 
mformacidn  contablc.  uno  de  los  cualcs  c\  factlnar  las  funciones  y  condoles  socialcs. 
y  asi  cotnicnu  la  contabilidad  a  scr  consider  *U  como  un  medio  a  travds  del  cual  la 
sociedad  poede  ejercer  su  funcidn  de  control  sober  las  unidadc*  ccoooemcas,  Si  sc 
aflade  a  csla  funcidn  social  el  caricter  de  bicn  publico  de  la  infnrmacidn  contablc 
emitida  por  un  auditor  independicntc.  enlonces  aparece  la  asuncidn  de  una 
responsabilidad  social  por  pane  del  auditor  como  garantc  de  la  (iabilidad  de  dicha 
informacidn'*. 

l-a  diferencia  de  expcctalivas  alude  al  dcsacucrdo  cm  re  lo  que  esperan  I  os 
u  su  anas  de  la  auditoria  y  lo  que  ofrecen  lo*  audilorc*.  leniendn  en  cuenta.  ademis.  que 
el  tipo  de  auditoria  que  necesita  la  sociedad  depends*,  en  cada  memento,  del  tiempo  y 
del  entomo  coocrcto  En  la  literalura  angloujona  te  ha  denominado  "diicrencias  en  las 
expectativas  de  la  auditoria"  (audit  expectations  gap),  o  lo  que  ex  lo  mismo.  Us 
difercncias  cxistcntcx  entre  lo  que  los  usuanos  esperan  de  la  auditoria  y  lo  que  los 
auditores  conuderan  que  e\  su  trahajo'. 

Aunquc  el  lendmcno  del  gap  sic  expecutivas  tiene  un  alcance  mundial.  es  en 
Europa  domic  ha  alcan/ado  su  mayor  virulcncia.  Como  prueba  de  la  mquictud 
despenada.  la  Comisidn  de  Us  Comunidades  Europeas  promos  id  un  estudio  sobre  la 
funcidn.  posicidn  y  responsabilidad  civil  del  auditor  legal,  que  foe  llcvado  a  cabo  por 
el  Maastricht  Accounting  and  Auditing  Research  Center  (MARCi.  para  conoccr  edmo 
era  tratada  U  auditoria  legal  en  U  legislation  de  los  estados  micmbrus.  publicado  en 
1996.  La  Fcderacido  de  Expertos  Contables  Europeos  por  su  pane  publied  cn  cncro  de 
1996  un  rexumen  de  rcvomendacionc*  desamilladax  por  elU  como  rcsultado  de  la 
investigacidn  llcvada  a  cabo  accrca  tambidn  de  la  funcidn.  posicidn  y  responsabilidad 
civil  del  auditor  legal  cn  U  Unidn  Europca.  Postcnormente.  en  octubre  sic  1996.  la 
Comisidn  sic  las  Comunidades  Europeas  publied  su  libto  versle  sobre  los  mismos 
aspectos  que  los  tratados  en  el  informc  MARC  y  en  el  cstudio  dc  la  FEE.  y  organird 
una  conference  cn  BruscUs  en  diocmbrc  de  1996  para  debatir  sobre  Ion  nusmets. 
Ademis.  cn  1992  sc  habia  publicado  cl  informc  Cadbury  sobre  Isis  aspectos 
fmancieros  del  gobiemo  de  las  sociedadcs  cn  el  Reino  llnido.  y  las  ocho  may  ores 
firmas  intcmacionalcs  de  auditoria  crcaron  cn  1993  el  "Gmpo  Europco  de  Contacto" 
para  considerar  dc  qutf  forma  U  profcsidn  com  able  cn  Europa  podia  responder  al 
expectation  gap.  axumiendo  que  U  profesidn  deberia  cambiar  en  cuanto  a  sus  actuates 
enfoques  y  alcanccs  si  se  pretendfan  redueir  las  difercncias  cn  las  expectativas*. 

Para  temunar  cmc  apanado.  quisidramos  seflalar  que  dsta  no  es  una  tendencia 
exdusiva  de  esu  actividad.  En  la  literalura  empresarial  mis  rccicntc  se  ha  acufado  el 
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Idtmno  de  itakrholdtn.  o  inlcrvudox.  mis  concreumentc  aposlantcs.  Sc  apunta  con 
csta  denomination.  quc  rccuerda  cm  dm. la  a  k»  tradidooalcx  primcros  intcrcsadox  o 
acctonistas  (sharrholdrrs  O  Mmkholdtn).  quc  enisle  un  modclo  dc  "base  ampliada" 
cn  el  quc  c*  ncccsario  que  loda  organization  vea  a  I  os  nuevos  miembros.  quc  en  la 
lilcralura  gcrencul  noncamcncana  sc  asirtula  a  todos  los  ciudadanox  porque  sc 
considera  que  cl  ncgocio  de  su  pai*  e»  la  emprtxa.  At  mcnos  cs  posibk  idcntificar 
cinco  jerupos  dc  "intcrcsados"  o  "depositaries  dc  ditlias  apuesux":  los  acciomttav.  los 
empteados.  los  clicntcs.  las  comunidades  locales  y  la  socicdad  en  general.  Pwlriamos 
incluso  dciallar  adn  mas  e  incluir  a  los  inediadores  y  disixibuidores.  a  los  provccdorcs. 
a  los  compciidorcs,  a  las  insiituciones  linancicras  o  los  medios  dc  cormmicaci6n'\ 


27.4.  OBJETO  DEL  CONTRATO  DE  AUDITORIA 
INFORMATICA 

Fntcndcmos  por  objeto  del  conuato  de  auditoria.  Iras  la  cxplicacido  previa  sobre 
la  naturaleza  juridica  del  mismo.  la  defmicidn  y  clasificacidn  quc  hemos  prescniado 
como  talcs  en  la  introduction  del  capflulo.  y  no  la  pura  y  simple  emisidn  del  informe 
de  auditoria  que  constituye  en  esencia  la  fate  final  dc  dicho  contrato  y  no  el  rcsuliado 
del  cncargo  quc  lo  caracierizarfa.  de  ser  asi.  como  dijimos.  como  comralo  de  arren- 
damsenlo  de  obra. 

A  pesar  de  su  inexistencia  en  la  regulacrdo  nacional  actual,  sobre  todo  en 
comparacidn  a  la  cxistcntc  en  la  auditoria  de  cocntas.  cl  objeto  dc  un  cootrato  de 
auditoria  informiiica  esti  ampliamcnte  discruficado  y  se  encucntra  en  un  periodo  de 
auge  inusitado  quc  requicre  de  csfucr/os  dognsSttcos  importarvtes  para  su 
cstructuraciOn. 

Esta  inexistencia  legal,  pucs  las  referenda*  normativas  que  sc  quicrcn  encontrar. 
si  bicn  concept  ualmcntc  encuemran  su  calificativo  tdtoco  en  el  tdrmino  infocminco. 
especitican  en  todo  momenta  la  reali/acidn  dc  una  auditoria.  a  secas.  sin  calificativos. 
choco  de  una  manera  frontal  con  la  espectacular  amplitud  dc  Areas  de  conocimicnto  y 
dc  gcMidn  empresarial  que  cada  vez  mis  se  vc  abocada  a  controlar  y  con  la  acuciantc 
demands  de  profcsKXiaks  cn  el  mere  ado.  Todo  csto,  obviamente.  pasando  por  alto  las 
voces  discrcpantcs  de  algunos  profcsionales  dc  la  auditoria  de  cucntas  que  rcclaman  la 
dcnominacidn  de  auditoria  cn  exclusiva  rclcgando  a  lax  dcm.1v  especial idades  a 
adoptar  la  expresidn  de  revision  o  stmilares  \ 

F.ntrc  las  mencicmadas  “cuasi -reference*  legales"  sc  encuentran  el  orticulo  28  e) 
del  Flstaiuto  de  la  Agenda  dc  Protection  dc  Data*  (Real  Decrcto  428/1993.  de  26  de 
mar/.o).  la  Nonna  Cuarta  dc  la  InstnicciOn  1/I99S  dc  la  Agenda  dc  ProtecciOn  de 
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Datos.  reUtiva  a  prestacidn  de  serviciot  sobre  tolveocia  patrimonial  y  credito.  y  cl 
articuk)  17  del  Real  Dccreto  9W/I999.  dc  1 1  de  junto,  por  cl  que  se  aprucha  el 
Reglamento  de  medidat  dc  tegundad  dc  lot  arcluto*  automat i ratios  que  conlcnjan 
datos  de  carictcr  personal. 


Aunque  not  cncontramot  en  un  Area  que  por  tut  propias  caractcristicas  impidc  el 
Intado  de  un  numrrut  clou  tut  de  actisidade*  susceptible*  dc  ter  sometidas  a  cite  tipo 
de  auditoria.  que.  consecuent entente,  en  nuettra  optmdn.  dan  lugar  a  otros  tamos 
subtipos  dc  contmos  cspccificos  de  auditoria  dc  entomos  informAticos.  pasaremos  a 
reali/ar  una  cnumcracidn  dc  las  principal es  Areas  en  lat  que  tc  dcsarrolla  la 
"inexislente''  auditoria  mformAltca  actual  memo 

En  concreto.  podemos  distinguir  lot  siguientes  Ambitos  principalc*  en  la 
realizacidn  de  una  auditoria  informitica  de  la  que  hemos  calalogado  enmo 
pcrienecientc  a  la  auditoria  juridica  de  lot  entomos  infotmUtcot*'*: 

1.  Protcccidn  de  datos  dc  carictcr  personal 

2.  Protect  kSo  juridica  del  software 

3.  Protection  juridica  dc  las  bates  de  datos 

4.  Contratacidn  electronic* 

5.  ContrataciOn  informitica 

6.  Transferencia  clectrdnica  de  fondos 

7.  Delitos  informAlicos 

Todas  cstas  Areas  dehen  ser  ohjeto  dc  un  anAlitis  de  la  entrada.  tratamiento  y 
talida  de  la  informaciOn  en  los  sistemas  de  information  dc  la  empresa  detde  un  punto 
de  vista  jurfdico  Pasaremos  a  reali/ar  unas  breves  observation?*  al  respecto 
rcmitiOndono*  al  capUuto  en  concreto  de  este  libro  en  donde  ya  se  tiataban  en  la 
prime ra  cdiciOn  extensa  y  precisamente  cada  una  dc  cllas**. 

27.4.1.  Protecci6n  de  datos  de  caricter  personal11 

Es  qui/A  fitc  cl  aspecto  que  mis  importance  tiene  en  rclaciOn  con  la  malena 
(ratada.  la  Auditoria  informitica.  puct  ha  tenido  que  esperane  hatta  la  plasraaciOn  por 
escrilo  y  todo  el  posterior  desanollo  legal  del  derecho  fundamental  preschto.  entre 
otros.  por  el  anfculo  18.4  de  nuettra  Constitucidn  pan  contar  con  una  reference  legal, 
como  hemos  dicho  cuati-cxplicita.  de  la  existence  de  la  auditoria  de  lot  sistemas  de 
information. 
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La  actual  Ley  Orgiatca  15/1999.  dc  13  dc  dicicmbrr.  dc  Protection  dc  dalov  dc 
carictcr  personal  (LOPD)  que  suponc  U  reforma  dc  la  anterior  l-ey  Orgimca  5/1992, 
dc  29  dc  octubrc.  dc  rcguiacidn  del  tratamiento  automatuado  dc  daios  dc  carictcr 
personal  (LORTAD)  uguc  obltgando  cn  su  artfculo  9  a  la  adopesdn  dc  medidas  dr 
scguridad  para  k»  archives.  ya  no  sdlo  automati/ados.  que  contcngan  dichos  daios  dc 
carictcr  personal  LI  tambkn  articulo  9  dc  la  LORTAD  renutia  a  desarrollo 
rcglamcmario  para  mi  eoncrccidn. 

Poes  bicn.  die  ho  dcsarrollo  rcglamcntario  sc  plasms)  cn  la  prictica  cn  cl  Real 
Dccrcto  994/1999.  dc  1 1  dc  junto,  pot  cl  que  sc  aprobahi  cl  Rcglamcnto  dc  Medidas 
dc  Scguridad  para  los  archives  que  contuvicran  datos  dc  carictcr  personal  La  nueva 
LOPD  roanticnc  stgcnic  eric  Rcglamcnto.  tal  y  como  prescribe  cn  su  Disposicidn 
Transitooa  Tcrccra 

FJ  Rcglamcnto.  aplicabtc  por  lo  tamo,  clarifies  cn  ires  lot  ntvclcs  dc  scguridad 
(bdsKo.  medio  y  alto)  a  kn  que  hay  que  someier  a  los  archives  dcpcndicndo  del  grado 
dc  scnsihilidad  de  los  datos  dc  carictcr  personal  almaccnados  F.n  coocrcto.  sc  exige 
una  auditoria  al  meaos  Nanual  para  todos  los  mvclcs  cxccpto  para  cl  bisico.  Entre 
todas  las  medidas  cuyo  cumplimiento  sc  cxige  que  sc  comrok.  drstaca  d 
proccshmiento  dc  respuesta  y  registro  dc  Us  tncidencias.  cl  control  dc  acccsos.  la 
constitucidn  de  un  rcsponsablc  dc  segundad...'1  Dc  esu  auditoria.  que  puede  scr  tanto 
imema  como  externa,  sc  obtendri  ncccsariamcntc  un  informe  del  cual  cl  rcsponsablc 
dc  scguridad  c levari  Las  conchisioocs  al  rcsponsablc  del  archivo.  encootrindose  a 
disposition  de  la  Agcncia  dc  Protccckn  de  Datos  cn  todo  caso. 

Si  bicn  cs  cierto  que  esu  auditoria  no  lleva  caliHcativo  legal  alguno.  no  cs  menos 
cicrio  que  encoemra  cn  la  Auditoria  dc  Sistemas  dc  Information  su  acomodo  pcrfccto. 
cn  la  conjuncidn  dc  la  auditoria  dc  scguridad  dc  los  sistemas  que  tratan  los  datos  y  la 
calificacsOn  jurfdica  de  los  datos  tnvolucrados. 

27.4.2.  La  proteccion  juridica  del  software” 

La  calificacidn  juridica  del  software  ha  sido  objeto  dc  ditcusiOn  doctrinal,  porque 
Integra  distinios  element  os  que  pucslcn  cncuadrarsc  hajo  diferentes  Ordcncs  dc 
protcccida  juridica.  unos  amporablcs  bajo  la  tcgisLacidn  dc  la  propicdad  industrial  y 
otros  ha  jo  la  de  la  propicdad  mtclcctual  La  inclusion  bajo  esu  Ultima,  y  cn  concrcto 
bajo  la  figura  dc  los  dercchos  dc  autoc.  hacc  que  asimilemo*  los  programs*  dc 
compuudor  a  Us  obras  litcranav.  ocntiTicas  o  artist  leas. 

Como  bicncs  objetos  dc  esu  protccc*6n.  U  auditoria  a  la  que  sc  ticncn  que 
so  meter  debe  vcrificar  el  cumplimiento  dc  U  misma.  y.  por  lo  tamo,  investigar  U 
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kgalMUd  del  software  ulili/ado  en  die  bos  uucnuv.  evaluando  cl  nctgo  que  sc  corrc 
pof  peraulir  la  i legal >dad.  cl  “piraleo”  y  cuantificando  monctanamcntc  tublando  cl 
difcrcncial  cxutcnte  entre  dtcho  nesgo  y  cl  comc  de  impLanucidn  y  control  dc  todos  y 
cad.i  mo  dc  lot  programs*  utilizados  en  la  cnlidad 

Lot  auditorct  informkico*  ticncn  que  climmar  lot  ncxgos  cn  etta  iici 
proporcionando  dc  ctlc  modo  un  talor  aAadido  a  una  buena  gestidn  infunrutica. 
tigutendo  lot  enteno*  cxpuctia*.  entre  or  rot.  por  la  I  SAC  A  en  *u  conccpto  de  Value 
for  Auditing  Money  para  una  mejor  gcttifo  y  control  de  lat  bcenciat  de  software.  En 
particular,  tc  pueden  concrrtar  k»  net  got  que  coni  leva  la  rcaliaaodn  dc  copiai  no 
auloniadat  de  software  original  como  ton  lat  tancionct  y  multa-t,  lot  proMemat 
tdemeo*.  la  incxittencia  de  atistcncia  tunica,  la  obsolctccncia  tecnoldgica.  el  impacto 
ncgatit o  en  la  calidad  del  toftware.  el  deterioro  de  la  imagen  empretanal  y  lot  ataquet 
intencionalet14. 


27.4.3.  La  proteccibn  juridica  de  las  bases  de  datos” 

Una  bate  de  datot  et  un  depdtno  comdn  dc  documcntacidn.  dtil.  para  diferentet 
utuanot  y  ditunta*  aplicaoonc*.  que  permite  la  recuperacifa  de  la  informacidn 
adccuada,  para  la  rctolucido  de  un  problcma  planteado  en  una  consul  la.  Kt  decir, 
contiene  datot.  pero  proporciona  informaodo  De  nueto  not  encontramot  con  la 
figura  juridica  de  lot  derechot  de  aulor  como  la  adccuada  para  mi  poticionamicnio. 
por  la  carga  de  crratividad  que  conllcva.  IVro.  ademav  surge  la  denominada 
protcccidn  mediantc  un  derccho  sui  gentris  de  Us  bases  dc  datov  puet  se  pretende 
garanti/ar  U  protcccidn  dc  la  intemdn  en  U  obtcncidn.  senfkacido  o  presentacidn  del 
cootcmdo  de  una  bate  de  datov  evitando  que  una  copu  de  lot  cootcnidos  de  una  base 
de  datot  determinada  tometidot  a  unot  cnlenot  distintos  de  almacenamicnto. 
induacido.  referenciat  y  metodos  de  recuperacidn  coostituya  una  nueva  base  de  datot 
que  quede  atimitmo  amparada  hajo  la  figura  de  los  derechot  dc  autor. 

Sc  establecen  atimitmo  como  requititos  necetanot  para  que  U  hate  dc  datot  sea 
susceptible  de  die  has  protect*  tones  U  exitiencia  dc  un  autor  o  autores  ider.nficabtct  y 
rtUcionadot  con  U  obra  rcali/ada  y  el  trahajo  original  que  ha  dado  lugar  a  dicha  base 
de  datot 

En  el  planteamiento  de  lot  bienet  y  derechot  objeto  de  proteccido.  habri  que 
atender.  de  un  lado.  lot  derechot  dc  lot  titularc*  de  lot  documentot  almacenadot.  de 
otro  lado.  los  derechot  de  lot  productorc*  dc  U  hate,  puet  ui  creacidn  tienc  lambidn 
una  carga  de  intelectualidad.  y.  por  dlumo.  el  derccho  del  titular  de  la  base  a  impedir 
U  extraccidn  o  rcutili/ac:6n  total  o  partial 
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Pucx  hien.  U  auditoria  cn  cue  caxo  tendri  del  mixmo  modo  que  atender  a  lox  trw 
caxox  expocstox.  analizando  cl  cumplmucmo  para  todox  elkw  de  los  corurotei 
cxiablccidos.  cviiando  por  lo  unto  copiax  o  cxtraccionex  no  autonndax.  y  vcnficando 
la  gcxtidn  y  actualizacidn  por  lax  penonax  compctcnicx  y  aulori  radix  pant  olio 

lii  auditor  debe  cn  primer  lugar  anali/ar  la  mctodologia  de  dixeto  para  detemunar 
ui  accpCabilidad  y  luego  comprobar  ui  corrccta  utili/acidn.  tbxpudx  tendri  que 
examtnar  u  lot  dixeftox  xc  tun  realizado  corrcctamcnte.  una  vcz  purxto  cn  cxplotacidn 
deberi  com  probar  lox  proccdi  mientox  de  exploucidn  y  mantcnmueMo.  y  linalmcntc 
deberi  cuablccer  un  plan  para  dexpudx  dc  la  implantacidn.  l\H  mixmo  modo.  la 
formacidn  del  personal  a  lo  largo  dc  la  vida  del  producio  conviiuyc  un  elemeoto 
perraanenie  e  indixpcnxablc1’. 


27.4.4.  Contratacl6n  electronicav 


linlendcmox  por  conuatucidn  clcctrdnica  loda  aquella  que  at  reali/a  por  algdn 
medio  clectrdnieo.  Con  la  gcneraliracidn  del  uxo  dc  Inicmci  cl  aige  dc  cue  tipo  de 
contratacidn  empie/a  a  xer  conxtaiablc.  Pcro  no  xdlo  cua  red  mundial  acapara  cl 
perfeccionamienio  de  contratox  clcctrdciicox.  aunque  ex  cierto  que  ha  xido  xu 
impUruaodn  la  que  ha  rclegado  al  anterior  xiuema  BDI  (Hlectronr:  Data  Interchange) 
utilizado  principal rticnie  para  tranxacc.ooex  mtraemprexarialex". 

Hoy  cn  dfa.  en  el  comcrcto  eketrdmeo  concrctainente.  y  ct.icrtdido  en  xu  min 
amplio  xcniido  como  cualquicr  forma  dc  (ranxaccida  o  intercam>io  dc  information 
comercial  baxada  en  la  tninxmixidn  de  dalox  xobre  redex  de  comumcacidn  como 
Internet,  xe  habla  de  la  xcgmentacidn  cn  la  utili/acidn  de  ext  ox  mediox  clcctrdnicox  en 
uex  xenudox:  en  la  direccidn  emprcxa-conxumidor  final  (buxmrvi  to  conxummcr. 
B2C).  en  la  direccidn  emprexa-emprexa  ibuxincxx  to  buxinexx  B2B).  y  finalmcnte.  en 
la  direccidn  emprcxa-admimxtracionex  pdblicax  (buxinexx  to  adminiurationx.  B2A). 
Ademix  podriamox  xeparar  al  conxumidor  final  o  uiuano  como  artifice  activo  dc  dicha 
contratacidn  y  adadir  la  contra tacida  cnlre  conxumidorex  (conxutrencr  to  conxummcr. 
C2C)  y  la  gestidn  de  lax  relacionex  adminiurativax  de  lox  adminixtradox 
electrdokramente. 


Podriamox  (ambidn  diferenciar  entre  comercio  elcctrdnico  directo  como  aquel  que 
conxixte  en  la  obtencidn  del  bicn  o  aervicto  (ntegrameme  por  cl  medio  elcctrdnico.  por 
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cjemplo.  U  compra  de  un  libco  cn  (umvxo  ekctrOoico.  o  cl  comcrcio  electrOnko 
mdirccto  cn  cl  que  alguna  dc  Us  actividadcs  que  perfecoonan  U  adquisiciOn  del  tnen  o 
scrvicto  no  sc  rcali/a  por  mcdios  ckctrdaico*.  ya  tea  cl  transports  cl  pago  o  cualquicr 
otra. 


En  U  contrataciOn  electronic*  hay  qoc  atender  a  tre*  atpcctos  fundamcntalcs:  cn 
primer  lugar  *  U  mmedute/.  dc  lac  relactoncs.  cucstiOn  que  sc  solvcntari  cn  caw  dc 
relaciOn  mercantil  par  cl  momenta  dc  cmiviOn  dc  I*  accptacidn  y  cn  caw  dc  otro  lipo 
dc  relaciOn  per  cl  mamemo  cn  qoc  llcga  a  conocimicnio  del  ofcrcntc.  cn  segundo  lugar 
a  la  c alidad  del  diilogo.  y  cxcluycndo  cl  tetefono  o  la  videoconfcrcncia  habri  que 
asemejar  la  accptacidn  a  la  hccha  por  cooccpondcncia  esenta  cn  soportc  papel.  y.  cn 
tercet  lugar.  drsdc  cl  punto  de  vista  dc  la  segursdad.  Pasamos  a  dcdicar  un  especial 
plrrafo  a  cite  asperto. 

En  lo  que  a  segundad  sc  rcficrc.  cn  las  transmiuoncs  electronic  as  de  dittos  sc 
busca  garanti/ar  la  autcnucidad.  la  integridad  y  cl  no  repudio  (cn  origen  y  cn  destmo) 
de  las  miimav  Aclualmcntc  extste  un  mccanismo  que  puede  garami/ar  cstos 
extremes:  la  firma  digital.  EspaAa  ha  sido  una  ver  mis  pioncra  cn  cstos  temas 
rcgulatonos  dc  los  aspcctos  jurfdicos  de  la  denotninada  tocicdad  dc  la  information  tn 
cfccto.  antes  dc  qoc  sc  apruebe  la  Directiva  curopca  sobre  firma  clcctrOnica.  sc  aprobO 
cl  Real  Deer eto- ley  14/1999.  de  17  de  sepoembre.  sobre  firm*  clectrOnKa,  y  la  Orden 
dc  21  dc  fcbrrro  dc  2000  aprobO  cn  su  Anexo  cl  Rcglamcnto  de  acrcditaciOn  dc 
prrstadores  dc  tcrvicios  de  ccttificaciOn  y  de  ccrtificaciOn  dc  determmados  product  os 
dc  firma  electronic*.  Aunque  no  cs  objeto  dc  cstc  uabajo  su  aruUisis  exhausttvo  no 
queremos  dejar  dc  mcncionar  las  caractcrfsticas  mis  imponantes  dc  csta  nosedosa 
normativa.  El  Real  Dccrcto  Icy  14/1999  distingue  entre  do*  clascs  dc  firma 
clcctrOnica.  la  simple  y  la  avan/ada  o  digital.  La  firma  digital  ticnc  que  cumplir  una 
serie  dc  requisitos,  entre  otros  el  scr  cmitida  por  un  prestadsw  dc  servicios  acrcditado  y 
su  eficacia  jurfdtea  cs  identic*  a  la  dc  la  firm*  manusenta.  FI  prestador  de  servicios.  cn 
tcrminologia  comumtana  ahora  adoptada  por  la  IcgislaciOn  national  que  ha  prefendo 
no  utili/ar  la  calificaciOn  dc  autoridad  dc  ccrtificaciOn  y  dcspojarlc  asf  dc  ninguna 
pretendida  compete  ncu  public*,  sc  constituyc  cn  una  tercera  parte  dc  confianra. 
crclndosc  cl  "fedatario  cletlrOnico".  que  puede  idcntiAcar  y  autcnticar  a*  las  partes 
intcrvinicntc*.  por  medio  dc  tOenkas  dc  cifrado  dc  claves  con  Us  arquitccturas  dr 
clave  pdblica  o  Public  Key  Infracstruclure  (PKI>  que  sc  basan  cn  la  utiliraciOn  dc 
algoritmos  dc  clave  asimOtrica  dc  entre  los  cuales  dcstaca  cl  R.S.A,  garanti/ar  U 
integridad  dc  los  nsen.sajcs  transmitidos.  y  asegurar  cl  no  repudio  dc  las 
comunicacioncs.  cn  origen.  que  quien  hi/o  la  oferta  lo  niegue,  y  cn  destine,  que  quicn 
U  accptO  lo  hag*.  Adcmls  sc  puede  aAadtr  U  funciOn  dc  scllado  temporal  cn  la  qsic  sc 
cmifiquc  fccha  y  bora  del  pcrfccctonamicnto  de  die  ho  acucrdo  No  obstante,  rstas 
funt  nines  unicamcntc  las  puede  garantirar  un  prestador  dc  sersicios  acrcditado.  pues 
si  bkn  U  constitution  dc  cstos  prrstadores  sc  rcali/a  cn  un  rOgimen  dc  lihre 
compctcncu  sin  que  U  fall*  de  acrcditaciOn  pueda  conllcvar  U  incxistcncu  dc  ul 
prestador.  sOio  los  acrcditados  podrin  expedir  ccrtificados  rcconocidos  que  llcs-cn 
aparejada  dicha  firma  digital  que  time  pic  nos  electors  jurfdicos. 
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Dcsde  el  puiuo  de  vuu  de  lot  controlcs  a  lot  quc  «c  puede  scmeter  ettc  iipo  de 
contratacido  k  rcquicrc  on  asetoramicnto  tfctuco  para  que  la  rctlaccido  juridica  te 
adecue  a  la  ingenlc  potcnculidad  de  la  hcrrutuenu  utilirada  quc  hacc  quc  la  mcra 
traslacidn  de  lat  calcgorfas  conceptual  tradicionaics  al  medio  virtual  no  tea  potiblc 
tin  el  previo  tometimienio  a  unas  cspectficacioncs  y  aclaracionet  de  todo  pumo 
imprcscindtblc*  en  viitud  del  modo  de  pcrfeccionarsc  ettoi  contraot  quc.  *in  ter  un 
elcmcrno  ctencul  como  he  mot  mcncionado  para  lot  resume*  lipot  con  tract  uakt.  tc 
hace  necctario  por  tat  contccuencias  juridical  que  tc  pueden  denvar  de  tu  mobter- 
vaacia. 

lit  dcctr.  la  apuncMta  de  etiat  ttuevat  format  de  contratacidn.  tratpasa  lat 
front crat  de  la  mcra  forma  para  constituinc  cr  eletneiMot  dcfinitoriot  de  cuettionrs 
un  rc lev  ante t  cn  la  prictica  contractual  como  la  dclimitacidn  y  en  tj  cato  exoneracidn 
de  retpontabtlidadet.  la  pretucidn  de  garantia*  o  la  dititxSo  de  oMigaoonet  entre  lat 
panes  quc  no  pueden  tin  mis  ascmcjanc  a  Us  categorfas  convene  onalcs.  entre  otras 
total  por  la  globaliracidn  y  per  unto  interscccidn  de  legitUciotes  nnoonalct  Ni 
uquicra  lot  idmunm  tradiciotulmente  conttituidot  en  usos  del  ctmercio.  que  segtln 
nuestra  Icgiilacidn  mercantil  tienen  caricter  de  fuentc  de  Derecho  ton  ahtolutamente 
iradadablct  a  cstc  entomo.  y  ejempto  claro  de  ello  et  el  mtento  de  defimeidn  de  unot 
"e-terms",  en  una  clara  regulation  paralela  a  lot  utilizadot  y  rcconccidot  incotetmt  en 
cl  trifico  mercantil  intcmactonal. 


27.4.5.  La  contrataci6n  Informatics” 

Definidndola  como  la  contratacidn  de  bienet  o  tcrviciot  informiticos.  Bienet 
informiticot  ton  lodot  aqucllos  elementos  que  forman  el  tittrma  en  cuanto  al 
hardware,  ya  tea  la  umdad  central  de  proceto  o  tut  penfdncot.  isf  como  lodot  lot 
equtpot  que  tienen  una  relacidn  di recta  de  uto  coo  retpecto  a  ellos  y  que.  en  conjunto, 
conforman  cl  toportc  fftico  del  elemento  informitico.  Awmivmo.  v  contideran  bienet 
informiticot  lot  bienet  inmatcnalct  que  proporctonan  lat  drdenet.  datot.  proccdi- 
mientot  e -inttruccionct  en  cl  trataituento  automitico  de  la  infomaetdn  y  quc.  cn  tu 
conjunto,  conforman  el  toportc  Idgico  del  elemento  informioco  Lot  ictvKiot 
informiticot  too  lodos  aquelkn  quc  tirven  de  apoyo  y  complcmento  a  U  actividad 
informitica  en  una  relacidn  de  aTtmdad  dirccu  con  clU- 

Podcmot  dividir  en  dot  grandcs  grvpot  diferenciadot:  respcco  al  objeto.  dehido 
a  Us  canctcridicat  etpecules  de  lot  distintot  objetos  tobre  lot  que  pueden  vertar 
estos  contralos.  y  retpecto  al  negocto  jurfdico.  debido  a  que  lot  coatratot  informiticot 
mis  comunmcnte  rcaliradot  se  ban  llevado  a  cabo  bajo  una  figura  juridica 
determinada  teompravenu.  arrendamiento  f inane icro,  manteniimcnto.  poSUmo  )  cn 


'  Otvan  RuUrific/.  M  A  .  HmW  d*  Orrttka  tyormtoxo.  op  rtt .  ptgmt  191  y  i 


www.FreeLibros.me 

_ CAPtTVIO  V  n.  COST  HA  TO  PE  AlDCTOTtlA 


U  quc  han  cncontrado  acomodo  pcro  quc  cn  casi  todos  k»  casos  ha  skJo  ncccvario 
adecuar. 

La  contra  taciAn  tie  brcnet  y  la  prcstaciAci  dc  tcrvicio*  inform  it  icos  no  tienc  una 
calificaciAn  uniforme  para  vituarla  cn  un  modclo  o  (ipo  de  contrato.  Los  contrail* 
mformiticos  extin  formados  por  clcmentos  tan  disparex  qoe  cxigcn  la  mc/xla  o  uniAn 
de  den  o  mix  upos  de  commas.  Asmuvmo.  el  desconocinucnto  por  cl  imurio.  cn 
tlmtinos  generates.  de  las  posibilidadcs  >  Ifmilcs  de  la  informilica.  hace  quc  no  lodo 
en  el  contrato  pueda  cslar  hasado  cn  cl  pniacipio  de  autonomfa  de  la  sntunlad  de  lax 
partes,  bn  mochas  ocasiones  son  coo  tr at  os  de  adhcsiAn.  cn  los  qoe  una  de  las  pones 
fija  las  cliosulas  del  contrato  y  la  otra  se  adhiere  a  las  mixmas.  sin  tener  posihilidad  de 
modiflear  ninguna  de  ellas. 

I  j  contrataciAn  informilica  resulta  extremadamente  complicada  en  la  redacctAn 
de  los  contratos  y  en  la  fijaoAn  de  kn  dertchos  y  obligaciones  de  las  panes.  A  cllo 
hay  qoe  aAadir  la  inexistcncia  de  una  normativa  adccoada  a  los  mismos  y  la  dificullad 
cn  la  fiyaciAn  del  objeto  cuando  son  contratos  complex*.  Se  deben  rcdactar  temendo 
en  cucnta  un  cquilibrio  de  prestaciones  v  evitar  en  lo  posible  la  existencia  de  cliusulas 
oscuras.  Y  ex  aquf.  de  noeso.  donde  la  figura  del  auditor  inlormilico  cobra  toda  su 
import ancu  asesorando  c  implantando  cn  dkho  acoerdo  los  requisitos  tecnicos  y  los 
itfrmino*  especffico*  quc  delimitan  v  coocrctan  los  aspectos  tmprescindiblex  cuyo 
cumplinucmo  debe  ser  objeto  de  los  controlcx  a  los  quc  se  someu  cstc  npo  de 
contrataciAn  cuyas  partkularidadcs  requieren  un  ascsoramicnto  cspectalizado  y 
expeno. 


27.4.6.  Transferencia  electronica  de  fondos40 

Isste  es  un  teina  comtin  a  la  contrataciAn  ctectrAnica.  a  la  protecciAn  de  datos  de 
caricter  personal  y  al  pago  cloctrAoico.  En  concrete  cstc  Ultimo  adquicrc  una 
relcvancia  cn  la  priclica  inusitada  y  en  constante  crecumcnto.  Esta  rclcsancia  y  sus 
panicularidades  justifican  su  tralamiento  independienle.  Nos  refenremos  en  concrete  a 
los  medios  dc  pago  clectrAnicos  ya  conocidos.  csto  es.  las  tarjetas  de  crtdko  y  dc 

itfhiln.  n  rf  raws  p.-wlinilar  itr  las  asnriaifas  a  nn  rVlrrminxitn  rslaMrrimientn 

mere  ant  1 1  para  la  rcalixaciAn  dc  compras  cn  cl  mismo.  y  sA*o  mencionamos  aquf  el 
naciente  fenAmeno  de  las  micropagos  y  del  dincro  elect rAmco  propiamente  dicho  y  de 
las  consecuentes  encidadcs  emnoras  de  dinero  electrAnico 

No  obstante,  y  dado  quc  una  vex  mis  tenemos  quc  recordar  el  objeto  de  cstc 
capftulo.  no  es  luc  el  lugar  donde  analixar  las  faxes  de  la  transferencia  dccvAnica  de 
fondos.  ni  los  dcrcchos  y  obligaciones  de  lax  dixtintas  partes  impticadas.  el  cmisor  del 
instnimento  dc  pago  y  cl  usuario.  ni  la  nueva  situaciAn  de  dcscquiltbrio  dcrisada  de  la 
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utiliracirin  dc  imicvo  dc  los  contratos  dc  adhesion.  ni  la  confidcncialidad  ni  seguridad 
dc  los  dato*  dc  carictcr  personal  mvolucrados.  ni  la  dclimitacidn  dc  las 
responsabtlidadcs  y  ricsgos  exist  ernes  en  el  uso  dc  cue  medio  de  pago. 

l-a  (area  cvpcclfica  de  cste  dmbito  para  el  auditor  mfomtitKo.  apane  de  la  posible 
y  probable  intcrscccidn  dc  alguno  de  I  os  otros  imhitos  cspeci  fit  ados.  reside  en  la 
comprobacidn  de  la  mteropcrabilidad  enire  los  sixtemas  dc  lectura  de  las  tarjetas  y  las 
redes  dc  comumcac  tones 


27.4.7.  El  delito  informatico*’ 

Hue  cs  un  tema  dcbaiido  en  la  doctrina  lartto  en  su  definietdn.  mas  alii,  en 
cuanto  a  su  exist encia  legal,  com#  en  su  clasifieacirin  Dc  un  lado.  los  elcmentos 
integrants  de  la  dcfiniodn  estricia  dc  delito  en  la  doctrina  criminalista.  son 
difkilmenie  cncontnblcs  en  la  utili/acidn  de  mcdios  informitkos.  en  su  mis  amplio 
venudo.  en  la  comisidn  dc  il(citos.  De  otro  lado.  en  la  clasificacidn  dc  todas  las 
acetones  ilcgales  dolosas  instrumcniali/adas  dc  csle  modo  Umpoco  cxiste  unanimidad 
Parecc  claro  que  von  los  fraudes  los  que  mis  imponancia  cualitativa  y  cuantitativa 
encuentran  dentro  dc  cue  delito.  Pcro  uinpoco  en  la  ordenacidn  dc  los  mismot  se 
cxpecifka  una  selection  unica.  A  modo  dc  ejcmplificacida.  baste  cnumcrar  los  vims 
informiticos.  la  actuacidn  dc  los  llamados  pi  rat  as  informiticos.  o  cl  mero  robo  y  cams 
acetones  fisicas  simi lares  contra  los  elementos  fisicox  y  ItSgtcos  dc  los  cquipos 
informiticos.  dondc  destaca  sobrcmancra.  la  piraterfa  del  software  ya  mcncionada  mis 
am  ha*'. 

Como  no  cs  cl  objeto  de  cue  capttulo  cl  dcsarcollo  intenso  de  este  tema, 
remiiimos  de  nuevo  a  la  parte  especffica  de  esia  obra  dondc  sc  dctalla  su  contcmdo  y 
pasamos  a  mtentar  circunscnbir  cl  imbito  dc  la  auditorfa  dc  sistemas  dc  information 
con  relacidn  al  denominado  delito  infomsitico.  I-i  intcrvcncidn  del  auditor  informitico 
revLste  aquf.  sin  lugar  a  dudas,  una  especial  utilidad.  Si.  como  bentos  mcncionado.  en 
cuanto  a  los  entires  c  inegularidades  dctcctables  en  la  audiloria  dc  cuenlas  ticnc  un 
deber  de  diligencia  y  cuidado  profcsional  que  deternuna  su  comunicacidn  a  la  empresa 
auditada.  en  cuanto  a  la  deteccidn  dc  delitos  cxiuc  una  prescription  legal  que,  por  la 
cxpcricncia  y  profesionalidad.  del  auditor  le  constituye  en  el  sujeto  tdrioco  para  no 
s6lo  la  constat  aetdn  dc  cuos  delitos  si  no  tambidn  para  ayudar  en  su  delimitation 
conceptual  a  cfcctos  dc  su  inclusion  en  una  u  otra  catcgorfa.  otorgindole.  por  otra 
parte,  por  estas  nusmas  convidcraciones  una  especial  responsabilidad  en  dicha 
detection. 
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27.5.  CAUSA 

Para  terminal  con  el  anilitis  dc  kn  elcmentox  cscnciaks  de  todo  comraio. 
pasamox  a  examinar  la  causa  del  comraio  de  auditoria. 

I>e  lodo  lo  anterior  cabe  dcducir  que  la  exigcncia  LEGAL  de  la  Aodtiorta  dc  los 
Sistcmas  de  Informacidn  cn  la  actualxiad  ea.  en  pundad.  nula.  No  ciistc  ni  una  sola 
disposition  dc  ningiin  rungo  que  deierminc  la  rcali/acirin  de  una  oaditoria  de  estas 
ancwtalcu. 

No  obstante.  loda  la  actual  regulation  cn  materia  de  protcccrtn  de  datm  dc 
caricter  personal  aconseja  >  tuena  a  mi  imposicidn.  No  cabe.  hcntsenCuticamcnte 
hablando.  la  potibilidad  dc  que  sc  cst i  rcfincndo  cn  cmc  cuerpo  rormatiso  a  una 
auditoria  dc  tax  “convencionalcs".  Aparecc,  de  cstc  mode,  la  “figura  legal"  de  la 
Auditoria  Informitica.  m  sc  opla  por  no  somctcnc  a  la  litcralidad  de  la  Ley.  cn  cuyo 
caso  conduciria  a  la  dnica  auditoria  existence  por  cl  moment*  a  cfeelox  de 
reconocimicnto  legal:  la  auditoria  de  cucnus.  y  acudir  a  la  ya  tradicbnal  y  accptada 
comcme  dc  interpretation  del  cspfntu  de  b  norma,  a  cfcctos  de  conseguir  una 
conclusion  mis  adecuada  >  realisu.  que  Ikva  ineludiMemente  a  U  tccpiaciOn  de  la 
Auditoria  Informitica  como  b  iddnea  para  cstc  anilisis. 

Por  lo  tanto.  cs  poxiblc.  cn  nuestra  opinion,  concluir  que  b  causi  puede  tener  cn 
cstc  contmo.  dentro  dc  su  I  if  nod.  sus  dot  origcncs:  dc  un  I  ado.  partiendo  de  b 
autonomfa  dc  b  voluntad.  prmcipto  rector  cn  matena  de  Dcrrtho  con  factual  presento 
en  el  aiifculo  I2SS  del  actual  Cddigo  Civil,  puede  ter  solaitada  a  supple  voluntad  dc 
b  empresa  auditada.  y.  de  otro  I  ado.  como  cumplimicnto  de  la  cxigcncia  legal  prevista 
cn  b  noanatisa  de  protect  kVi  dc  datos  dc  car  ic  ter  personal  y  en  concreto  en  el  art  feu  lo 
17  del  Kcgbmemo  dc  Seguridad. 


27.6.  EL  INFORME  DE  AUDITORIA 

El  informc  dc  auditoria  constituyc  cl  producto  final  del  trabayo  de  auditoria  y  b 
tlnica  documentation  que  va  a  Itcgar  a  quicn  la  ha  cncargado.  Sus  objetivos 
princtpalcx  consistcn  cn  permitir  al  que  revixa  entender  cl  trabujc  rcali/ado.  las 
circunstancus  que  afcctan  a  su  fiabilidad  y  las  cooclusiones  del  awlitor.  asf  como 
peevemr  una  interpretation  errdnea  del  grade  dc  rcsponsabilnlad  Ltumido  por  cl 
auditor". 

lil  informc  debe  estar  cscrito  e  ir  firmado.  En  <1  deben  constar  los  inteccdrntes.  cl 
objetivo  del  proccso  dc  auditoria.  lax  poxiblex  limitacioncs.  y  un  rexumen  para  la 


*' Bmul  MonUMv  R  )  Cotoell  SwMi.  O .  A^Anwu  dt  to,  Siimui  dt  fjonmKKtt.  l/aocrudal 
PutiUtnKA  dr  Valencia.  Vaknets.  I9S*.  piguui  12))  u 


www.FreeLibros.me 


W  AUPaOKl*  INWMtUATICA  US  WWOQt*  mAmCP _ ***** 

Dtrcccidn  en  idrminot  no  tecnicos  Kn  cada  punto  debt  csplicarvc  poc  qud  ex  un 
incumplimiento  o  una  debtlidad.  y  alguna  rccomendacibn  Ha  de  discutirse  con  lot 
auditados  antct  de  cnuiir  cl  definnito.  Kn  algunos  casot  incluto  te  puedcn  recover  lat 
rctpuc*U\  de  lot  auditados** 

El  inform  dc  audiloria  de  cueniat  anualct,  obligators  para  cicrUa  entidadet  que 
cumptan  onot  detemunadut  parametrov  e\  un  dsvumcnto  dondc  tc  pone  dc  mam- 
fietlo  la  opimdn  del  auditor,  rcspecto  de  la  fiabtlidad  dc  la  informacibo  contaNc 
auditada.  dc  mancra  que  cualqutcr  icrccro  pueda  salorar  dicha  informacibn  Jr.  cn  mi 
ca*o.  tomar  decistooes  tobre  la  bate  dc  la  iratma  con  autbnticu  cooocmuenio  de  cauta. 
Ettas  caracteritticat  ton.  de  nueso.  aplicablet  al  inform  eontccvcnie  de  la  rcalizacidn 
dc  una  auditoria  informttica. 

Un  inform  debe  concur  dc  lat  tiguienlct  panes:  tftulo.  dextmatano  (a  qukn  va 
dingido  y  quien  efecli*6  el  norobeaimenio).  idcnnficacibn  dc  la  cnlidad  auditada. 
pdrrafo  de  akanee  (NT  utilizadas  y  excluidat  en  tu  cato).  pirrafo  dc  comparaNlidad 
(rctpccio  a  c)erciciot  antchoret).  pirrafo  de  talvedadet  (dctallando  mi  cfcclo  tobre  las 
cuenus  anualct  o  tu  naluralc/a).  pirrafo  de  bnfaut,  pirrafo  dc  opinidn  (cspecialmcMe 
resale  undo  cl  pnneipio  general  con  tabic  dc  rcprttcntacibn  de  imagen  fiel).  pirrafo 
tobre  el  inform  de  gestibo.  firmat  y  fccha  (que  cotnnda  con  la  dc  temunaobn  del 
trabajo  cn  la  oficina  dc  la  entidad  auditada)*'. 

Para  que  cl  auditor  pueda  irantmiiir  de  forma  satisfactory  tu  trabajo  a  lot 
coiectisos  mteresados.  cl  inform  dc  audiloria  debe  ter  un  documnto  que  ha  de  ter 
lefdo  y  comprcndido  tin  que  lot  Icetorcs  cncucntren  dificultad  o  dudas  cn  la 
intcrprctacibn  del  mcmaje  que  cootie nc  Ea  idmunos  generates.  te  ha  producido  un 
reebazo  al  inform  corto  y  la  aceptacibn  general  irada  dc  su  aiargamicnto.  dc  nueso 
como  una  forma  mis,  entre  otrat  cocas,  dc  acocur  cl  Ian  nombrado  gap  de 
cxpcctativa**1. 

27.7.  CONCLUSIONES 

Ettas  conclutionet  tendrin  dot  partes  difertneiadav  En  primer  lugar. 
extracrcmot  lot  puntos  mis  rctalublet  en  cuanto  a  lot  elementos  del  contrato 
a nali/ads).  y  despuCs  pataremot  a  rcali/ar  un  mis  extento  aniliut  dc  la  sittaacida 
actual  normadvamente  hahlando  dc  la  audiloria  informitica.  puet  cs  cn  ette  punto 
dondc  cncontramot  que  te  debe  baser  hincaptb  a  la  vista  dc  lo  ettudiado 
antcriormcntc. 
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I  I  conlnuo  dc  auditoria  informatica.  como  todo  to  que  afccta  a  la  rcgulacidn 
juridica  de  las  Nucvas  TccnologUs  dc  la  Informacidn  y  las  Comunicacior.es.  no  cs 
algo  que  sc  cncucntrc  delimitado.  I  j  inscgurvdad  jurfdka  cs  palpable.  El  objelo  propio 
dc  esu  coniratacku.  adernus  dc  mi  multiplicMUd.  nc  caractcri/a  por  la  difkultad  dc  mi 
configuration  juridica.  1j  profesidn  dc  auditor  informdtico.  apanc  dc  su  falia  de 
rcgulackta.  sufre.  ctiirc  ofras  cosav,  dc  intiusismo  profcsional  y  dc  cxtralimilacidn 
dc  mm  funcionc*.  I  j  empresa  que  soliciu  uivi  auditoria  intormitica  socle  lencr  dudas 
cn  cuanio  a  su  objelo  y  a  su  rcsultado.  I  .a  difcrcncia  dc  expecutivas  cs  aquf  mayor 
porque  ni  siqukra  sc  ikne  claro  lo  que  sc  espera.  pues  sc  espera  lodo.  sc  espera  una 
solution,  no  una  dclcccidn  dc  I  os  prohlcmas.  En  cuanto  a  I  os  Icrccros.  mcnos  claro 
licncn  aiin  la  existence  y  dclimitacwVi  dc  la  figura.  Por  orra  parte,  la  causa,  como 
hemos  vino.  cs  cscasamcntc  legal  cn  cuanio  a  pcnodicidad  cn  la  obligacidn. 

No  samos  a  abandon ar  cn  csic  ultimo  apartado  cl  obligado.  esperamos  que  no  por 
muclx)  tiempo.  esquema  comparatiso  rcspccto  a  la  auditoda  dc  cucntas  que  hemos 
semdo  siguiendo.  y.  por  lo  tamo,  nos  aprovccharemos  del  anilixi*  dc  la  uluacidn 
actual  de  la  miuna  c  intentaremos  sintetizar  los  pumos  mis  rdevantes  para  basar 
nucstras  “rcivindicaciones". 

Comcnccroos  por  resalur  una  sc*  mis  lo  novedoso  dc  su  normativa.  Sdlo  a  panir 
dc  la  I.AC  (1988)  sc  rcgula  por  primera  vcz  la  profesidn  dc  auditoda  de  cucntas. 
detemunindose  qukn  puede  ser  auditor  dc  cue  mas.  cdtno  debe  actuar  cl  auditor  dc 
cucntas  cn  cl  cjcrcicm  dc  su  profesidn.  los  pla/os  para  la  contra  tacido,  cl  regimen  dc 
incompotitnlidadcs  y  las  rcsponsabilidadcs  y  mccanismo  sanctonador.  Para  una 
profesidn  que  sc  remonu  a  los  orfgcncs  dc  las  civili/acioncs  mis  antiguas.  rcsulta 
cuando  mcnos  llamativo. 

Pero  ademK  la  auditoda  ticnc  aun  pendientes  numerosot  prohlcmas  que  afcctan 
unto  al  contcmdo  dc  sus  normas  dc  trabajo.  como  al  alcancc  del  riuvttso.  o  a  la  forma 
dc  su  expresidn  como  actividad  profcsional.  Temas  como  la  aulorrcgulacidn  profe- 
sional.  la  uniftcackn  dc  critcrios,  la  intcmacionalizactdn  dc  los  pnneipios  conublcs. 
conccptos  como  los  dc  empresa  en  marcha.  imponancia  relativa.  fraude  c  ilcgalidad.  la 
compatibilidad  dc  Us  funooncs  dc  auditor  profcsional  y  la  consultoda.  sobre  los 
proccsos  dc  conccntracidn.  Us  rclactoocs  con  Us  autoridadcs.  los  controlcs 
dcontoldgicos.  o  la  calidad  del  trabajo.  Tarnbkn  cs  ncccsana  una  normativa  comOn 
curopca  sobre  aspcctos  rclacionados  con  la  independence  y  objetividad  del  auditor, 
las  rcglas  dc  contratacidn,  Us  rctponsabtlidades  exigiMes,  los  seguros  dc  responsabi 
lidad  profcsional.  y  cl  rfgimcn  de  control  y  supervision  y  de  sanckmes  aplicables  por 
conducus  impropsas". 
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Apoyando  csta  aftrmacidn.  como  hcttwv  visto.  el  Libro  Verde  sobrc  la  functdtv. 
puvKidfl  y  rcvponvabilidad  civil  del  auditor  legal  en  la  Unido  Europea*',  public  ado  por 
la  Comumdad  cn  1996.  pone  de  manifieuo  la  ncceudad  dc  homogenci/ar  cl  cjcrckio 
de  la  auditorfa  en  aspect o*  como  ni  delinicidn.  la  forma  y  el  contetudo  del  infoemc.  la 
indepcndrncia  del  auditor  legal,  la  forma  de  rcali/acidn  del  control  de  calidad.  la 
retponvabilidad  del  auditor  legal  .  en  orden  a  eitablccer  lav  haves  que  permitan  el 
devarrollo  del  mercado  intenor  de  las  scrvioo*  de  auditoda.  F.l  Parlamcnto  Europeo. 
por  hi  parte,  anabzd  el  cttado  Ijbro  Verde  y  aprobd  una  Revotucidn  cn  enero  de  I99S 
en  la  que  convrdcTaba.  entrc  otras  covas.  la  nccestdad  de  concretar  ksv  objetivo*  min 
inmcdiatov.  la  idoneidad  de  la  convtitucidn  de  un  subcomM  tdcruco.  la  neccvidad  dc 
armoni/ar  el  eyercicjo  de  la  auditoda  en  la  UK  revahando  la  relevancia  de  la*  norma* 
profcvionale*.  la  independent!*  del  auditor  y  el  cjcrckio  del  control  de  calidad.  la 
retponvabilidad  civil  de  los  auditorc*.  acontejando  la  vutcripcidn  de  un  teguro 
mfnimo ...  En  revumen.  que  para  que  ve  dcsarrolk  el  mercado  mtemo  dc  lot  tervkio* 
de  auditoda  ct  imprevcindible  que  ve  divponga  de  un  modelo  comdn  de  organi/acidn 
dc  la  actividad.  La  Conundn  Europea.  como  continuactdn  del  anterior  anilivi*  del 
Parlamcnto.  prevent*  un  documento  denommado  la  auditoda  legal  en  Europa:  el 
camino  a  teguir**.  doode  ve  cvpcciftca  que  el  fin  de  protccodo  del  inter**  publico,  el 
oumento  de  la  armom/acidn  de  la  informacidn  financier*  y  el  incremento  de  la 
fiabitidad  de  la  mivma  convietten  a  la  auditoda  en  un  elemcnto  importantc  para  el 
evtablecimienio  y  funoooamicmo  del  mercado  dnico.  La  Comiudn  e*  contcienie  dc  la 
falta  de  unaninudad  vobre  la  funcidn.  povkidn  y  rcvpon*ab*lidad  civil  del  auditor  legal 
y  de  la  neccvidad  de  adopur  un  modelo  comtin  que  a  *u  ve/  respete  lot  euindare* 
Internationale*  en  la  ejecucidn  del  trahajo.  en  la  ermndn  de  la  ooinidn  y  en  k* 
controlev  evtablccido*  para  mejorar  la  calidad  de  kn  citadov  informev  . 

En  deflnitiva,  *i  una  profevidn  tan  anligua  como  la  auditoda  convene  tonal 
adolece  de  tantav  impcrfecctone*  legale*,  con  tantov  problem**  y  atpedov  vin  definir  y 
con  extremov  tan  abvolutamcntc  indefimdot.  y  dado  el  muy  vupenor  ritmo  dc 
creo miento  e  importancia  de  la  auditorfa  informant*.  entendemov  que  ya  se  evil  a  un 
mvel  de  importancia.  aunque  tea  pretendidamente  votlayada.  y  de  prevencia  real  de  la 
profevidn.  como  para  reclamar  el  rvconocimiento  de  una  identidad  y  particular) dad 
Avi.  en  un  futuro  cercano  evperamov  tencr  que  dejar  de  reali/ar  aniliu*  comparativov 
nada  vativfactodov  en  el  evtudio  de  las  caracteriuicav  onginalev  y  proptav  dc  evta 
profevidn, 

"Aprovechcmw".  puev  lav  umilitudev  exivtente*  y  la  indefinkidn  legal  que  vufre 
cn  muchov  puntov  la  auditorfa  de  cuentav  para  comen/ar  un  proccso  normative  propio 
que  delimite  la  figura  de  la  auditorfa  de  vivtema*  de  informandn  en  todos  wv  avpectov: 
devde  lov  vubjetivo*.  defimendo  cl  perfil  del  auditor  informltico.  havta  lot  objetivo*. 


“  Uw  Verde.  /««  poetndm  t  mpufcbU  <<V*T  del  teJitor  let*/  em  it  tUM  Carnpra 
(MCUtAU 

"  dinti  Cm.  A.  "Drome  mncniit)  dr  la  l<>  dr  Auditor**  dr  Catm*t~.  ra  Mil  OMe. 
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cn  cuanto  a  la  rcgulacidn  legal  pnncipalmcntc.  y  lo*  inttnimentalc*  u  orginizativov 
lit  prccino  lograr  una  regulation.  del  lipo  que  tea.  prnpia  y  dclimiladora.  dcclarativa 
que  no  comtitutiva  de  lo  que  e*  una  rcalidad  credence  en  niimero  c  imporiancia  la 
profe*idn  de  auditoria  informilica. 
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27.9.  CUESTIONES  DE  REPASO 

1.  Comparativa  entre  lav  defmicione*  "legale*"  de  la  auditoria  de  cuenta*  y  la 
audiloria  de  xivtcma*  de  informacidn. 

2.  tCuil  o  la  naturalc/a  juridica  del  cootraio  de  auditoria?  tPoc  qud? 

3.  La*  Norma*  Tdcmcas  de  Auditoria 

4.  Auditoria  interna  (rente  a  Auditoria  externa  cn  tittcma*  de  inforrnacidn. 

5.  La*  ten-era*  pcrvoca*  o  mCercMita*  y  la  informacido  en  el  contrato  de 
auditoria. 

6.  Utilidad  de  lot  Comitd*  de  Auditoria 

7.  Dittintos  objeto*  en  cl  cootraio  de  audiloria  informirica 

8.  La  auditoria  en  la  protcccidndedatovdccarictcrpcrtonal. 

9.  La  cau*a  en  el  contrato  de  auditoria. 

10.  Caractcri*tica*  del  informc  de  audiloria 


